Rokasgrāmata par anonimitāti tiešsaistē (pēc https://anonymousplanet.org/)

Izmantojiet uz savu risku. Lūdzu, neuztveriet šo rokasgrāmatu kā galīgo patiesību par visu, jo tā tāda nav.
ītājs
  • Ievads:
  • Izpratne par dažiem pamatiem, kā kāda informācija var novest pie jums un kā mazināt tās ietekmi:
    • Jūsu tīkls:
      • Jūsu IP adrese:
      • Jūsu DNS un IP pieprasījumi:
      • Jūsu RFID iespējotās ierīces:
      • Wi-Fis un Bluetooth ierīces ap jums:
      • Ļaunprātīgi/negodīgi Wi-Fi piekļuves punkti:
      • Jūsu anonimizētā Tor/VPN datplūsma:
      • Dažas ierīces var izsekot pat bezsaistē:
    • Jūsu aparatūras identifikatori:
      • Jūsu IMEI un IMSI (un līdz ar to arī tālruņa numurs):
      • Jūsu Wi-Fi vai Ethernet MAC adrese:
      • Jūsu Bluetooth MAC adrese:
    • Jūsu procesors:
    • Jūsu operētājsistēmas un lietotņu telemetrijas pakalpojumi:
    • Jūsu viedierīces kopumā:
    • Jūs pats: jūsu viedierīces: jūsu viedierīces: jūsu viedierīces: jūsu viedierīces:
      • Jūsu metadati, tostarp jūsu ģeogrāfiskā atrašanās vieta:
      • Jūsu digitālais pirkstu nospiedums, nospiedums un uzvedība tiešsaistē:
      • Jūsu norādes par reālo dzīvi un OSINT:
      • Jūsu seja, balss, biometriskie dati un attēli:
      • Pikšķerēšana un sociālā inženierija:
    • ļaunprātīga programmatūra, ekspluatanti un vīrusi:
      • Ļaunprātīga programmatūra jūsu failos/dokumentos/ e-pasta vēstulēs:
      • ļaunprātīga programmatūra un ļaunprātīga izmantošana jūsu lietotnēs un pakalpojumos: ļaunprātīga programmatūra un ļaunprātīga izmantošana jūsu lietotnēs un pakalpojumos:
      • Ļaunprātīgas USB ierīces:
      • Ļaunprātīga programmatūra un aizmugures vārti jūsu aparatūras programmaparatūrā un operētājsistēmā:
    • Jūsu faili, dokumenti, attēli un videoklipi:
      • Īpašības un metadati:
      • Ūdens zīmes:
      • Pikselēta vai neskaidra informācija:
    • Jūsu kriptovalūtu darījumi:
    • Jūsu mākoņa dublējuma/sinhronizācijas pakalpojumi:
    • Jūsu pārlūkprogrammas un ierīces pirkstu nospiedumi:
    • Vietējā datu noplūde un kriminālistikas ekspertīze:
    • Sliktā kriptogrāfija:
    • Nav reģistrēšanas, bet tik un tā reģistrēšanas politikas:
    • Dažas uzlabotas mērķtiecīgas metodes:
    • Daži papildu resursi:
    • Piezīmes:
  • Vispārīgi sagatavošanās darbi:
    • Maršruta izvēle:
      • Laika ierobežojumi:
      • Budžeta/materiālu ierobežojumi:
      • Prasmes:
      • Pretinieki (draudi):
    • soļi visiem maršrutiem:
      • Iegūt anonīmu tālruņa numuru:
      • Iegūstiet USB atslēgu:
      • Atrodiet drošas vietas ar piemērotu publisko Wi-Fi:
    • TAILS maršruts:
      • Pastāvīga ticama noliegšana, izmantojot Whonix sistēmā TAILS:
    • Visu pārējo maršrutu soļi:
      • Iegādājieties īpašu klēpjdatoru sensitīvām darbībām:
      • Daži ieteikumi par klēpjdatoriem:
      • Klēpjdatora Bios/UEFI/Firmware iestatījumi:
      • Fiziska klēpjdatora aizsardzība pret viltojumiem:
    • Whonix maršruts:
      • Izvēlēties savu host OS (OS, kas instalēta jūsu klēpjdatorā):
      • Linux host OS:
      • MacOS Uzņēmēja OS:
      • Mac OS: Windows Uzņēmēja OS:
      • Virtualbox jūsu uzņēmēja OS:
      • Izvēlieties savienojamības metodi:
      • Iegūstiet anonīmu VPN/Proxy:
      • Whonix:
      • Tor over VPN: Wonix: Wonix: Tor over VPN:
      • Virtuālās mašīnas: Whonix Virtuālās mašīnas:
      • Izvēlieties savu viesu darbstaciju Virtuālā mašīna:
      • (Whonix vai Linux): izvēlieties Linux virtuālo mašīnu:
      • Windows 10 virtuālā mašīna:
      • Virtuālā mašīna: Android Virtuālā mašīna:
      • Virtuālā mašīna: MacOS Virtuālā mašīna:
      • Veiciet KeepassXC: Virtuālā mašīna: Virtuālā mašīna: Virtuālā mašīna: KeepassXC:
      • VPN klienta instalēšana (apmaksāta naudā/Monero):
      • (Pēc izvēles), kas ļauj tikai virtuālajām mašīnām piekļūt internetam, vienlaikus atslēdzot resursdatoru OS, lai novērstu jebkādu noplūdi:
      • Pēdējais solis:
    • Qubes maršruts:
      • Izvēlieties savienojamības metodi:
      • Iegūstiet anonīmu VPN/Proxy:
      • Uzstādīšana:
      • Vāka aizvēršanas uzvedība:
      • Savienojums ar publisko Wi-Fi:
      • Atjaunināt Qubes OS:
      • Qubes OS:
      • VPN ProxyVM iestatīšana:
      • Droša pārlūka iestatīšana Qube OS (pēc izvēles, bet ieteicams):
      • Android VM iestatīšana:
      • KeePassXC:
  • Anonīmu tiešsaistes identitāšu izveide:
    • Izpratne par metodēm, ko izmanto, lai novērstu anonimitāti un pārbaudītu identitāti:
      • Captchas:
      • Tālruņa verifikācija:
      • E-pasta verifikācija:
      • Lietotāja datu pārbaude:
      • Personas apliecinoša dokumenta pārbaude:
      • IP filtri:
      • Pārlūka un ierīces pirkstu nospiedumu noņemšana:
      • Cilvēku mijiedarbība:
      • Lietotāju moderēšana:
      • Uzvedības analīze:
      • Finanšu darījumi:
      • Pierakstīšanās ar kādu platformu:
      • Sejas atpazīšana un biometrija (atkal):
      • Manuālas pārbaudes:
    • Ienākšana tiešsaistē:
      • Jaunu identitāšu izveide:
      • Īsto vārdu sistēma:
      • Par maksas pakalpojumiem:
      • Par maksas pakalpojumiem: Pārskats:
      • Kā anonīmi kopīgot failus vai tērzēt tērzēšanā:
      • Dokumentu/attēlu/video/videoklipu/audio droša rediģēšana:
      • Slepenas informācijas paziņošana dažādām zināmām organizācijām:
      • Uzturēšanas uzdevumi:
  • Droša darba dublēšana:
    • Rezerves kopijas bezsaistē:
      • Atlasīto failu dublējumi:
      • Pilna diska/sistēmas dublējumi:
    • Rezerves kopijas tiešsaistē:
      • Faili:
      • Informācija:
    • Failu sinhronizēšana starp ierīcēm Tiešsaistē:
  • Slēpt savas pēdas:
    • Izpratne par HDD un SSD:
      • Nodiluma līmeņa noteikšana.
      • Apgriešanas operācijas:
      • Atkritumu savākšana:
      • Noslēgums:
    • Kā droši izdzēst visu klēpjdatoru/disku, ja vēlaties visu izdzēst:
      • Linux (visas versijas, ieskaitot Qubes OS):
      • Windows:
      • MacOS:
    • Kā droši izdzēst konkrētus failus/mapes/datus no cietā diska/SSD un zibatmiņas diskiem:
      • Windows:
      • Linux (izņemot Qubes OS):
      • Linux (Qubes OS):
      • MacOS:
    • Daži papildu pasākumi pret kriminālistiku:
      • Metadatu noņemšana no failiem/dokumentiem/attēliem:
      • TAILS:
      • Whonix:
      • MacOS:
      • (Qubes OS): Linux: MacOS: Linux (Qubes OS):
      • Linux (izņemot Qubes):
      • Windows: (izņemot Qubes (izņemot Qubes):
    • Dažu jūsu identitātes pēdu likvidēšana meklētājprogrammās un dažādās platformās:
      • Google:
      • Bing:
      • DuckDuckGo:
      • Yandex:
      • Qwant:
      • Yahoo meklēšana:
      • Google: Yahoo: Baidu:
      • Vikipēdija:
      • Archive.today:
      • Interneta arhīvs:
  • Dažas vecās skolas zemo tehnoloģiju viltības:
    • Slēptas komunikācijas redzamā vietā:
    • Kā pamanīt, vai kāds ir meklējis jūsu materiālus:
  • Dažas pēdējās domas par OPSEC:
  • Ja jums šķiet, ka esat apdedzināts:
    • Ja jums ir laiks:
    • Ja jums nav laika:
  • Neliela pēdējā redakcionālā piezīme
 
Last edited by a moderator:

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Budžeta/materiālu ierobežojumi.


  • Jums ir pieejams tikai viens klēpjdators un neko citu nevarat atļauties. Jūs izmantojat šo klēpjdatoru vai nu darbam, vai ģimenei, vai savām personīgajām lietām (vai abiem):
    • Jūsu labākais risinājums ir izvēlēties Tails.
  • Jūs varat atļauties rezerves speciālu neuzraudzītu/neuzraudzītu klēpjdatoru sensitīvām darbībām:
    • Taču tas ir vecs, lēns un ar sliktām specifikācijām (mazāk nekā 6 GB RAM, mazāk nekā 250 GB diska vietas, vecs/lēns procesors):
      • Jums jāizvēlas Tails risinājums.
    • Tas nav tik vecs, un tam ir pienācīgas specifikācijas (vismaz 6 GB RAM, 250 GB diska vietas vai vairāk, pienācīgs CPU):
      • Jūs varētu izvēlēties Tails, Whonix maršrutus.
    • Tas ir jauns, un tam ir lieliskas specifikācijas (vairāk nekā 8 GB RAM, > 250 GB vietas uz diska, nesens ātrs CPU):
      • Jūs varētu izvēlēties jebkuru maršrutu, bet es ieteiktu Qubes OS, ja jūsu draudu modelis to atļauj.
    • Ja tas ir uz ARM balstīts M1 Mac:
      • Šādu iemeslu dēļ pašlaik tas nav iespējams:
        • ARM M1 Mac datoros x86 attēlu virtualizācija joprojām ir ierobežota līdz komerciālai programmatūrai (Parallels), ko Whonix pagaidām neatbalsta.
        • Virtualbox vēl nav pieejams ARM arhitektūrai.
        • Whonix vēl nav atbalstīta ARM arhitektūrā.
        • Tails vēl nav atbalstīta ARM arhitektūrā.
        • Qubes OS vēl nav atbalstīta ARM arhitektūrā.

Iespējams, ka vienīgā iespēja M1 Mac datoros pagaidām ir izmantot Tor Browses. Bet es domāju, ka, ja varat atļauties M1 Mac, jums, iespējams, vajadzētu iegādāties īpašu x86 klēpjdatoru jutīgākām darbībām.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Prasmes.


  • Jums nav nekādu IT prasmju, un šīs rokasgrāmatas saturs jums šķiet kā sveša valoda?
    • Jums vajadzētu iet pa Tails ceļu (izņemot pastāvīgo ticamas noliegšanas sadaļu).
  • Jums ir zināmas IT prasmes, un līdz šim jūs lielākoties saprotat šo rokasgrāmatu.
    • Jums jāizvēlas Tails (ieskaitot sadaļu par pastāvīgu ticamu noliegšanu) vai Whonix maršruts.
  • Jums ir vidējas vai augstas IT prasmes un jūs jau esat iepazinies ar daļu no šīs rokasgrāmatas satura.
    • Jūs varētu izvēlēties jebkuru no šīm iespējām, bet es noteikti ieteiktu izmantot Qubes OS.
  • Jūs esat l33T hakeris, "nav karotes", "kūka ir meli", jūs gadiem ilgi izmantojat "doas" un "visas jūsu bāzes pieder mums", un jums ir stingrs viedoklis par systemd.
    • Šī rokasgrāmata īsti nav domāta jums un nepalīdzēs jums ar jūsu HardenedBSD uz jūsu Hardened Libreboot klēpjdatora ;-)

 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Pretinieki (draudi).


  • Ja jūsu galvenās rūpes rada ierīču kriminālistiskā ekspertīze:
    • Jums jāizvēlas "Tails" ceļš (ar papildu pastāvīgu ticamu noliegšanu).
  • Ja jūsu galvenās bažas rada attālināti pretinieki, kas var atklāt jūsu tiešsaistes identitāti dažādās platformās:
    • Jūs varētu izvēlēties Whonix vai Qubes OS maršrutus.
    • Varētu izmantot arī Tails (ar izvēles iespēju nodrošināt pastāvīgu ticamu noliegšanu).
  • Ja, neraugoties uz riskiem, noteikti vēlaties panākt ticamu noliegšanu visā sistēmā:
    • Jūs varētu izvēlēties Tails maršrutu, ieskaitot pastāvīgas ticamas noliegšanas sadaļu.
    • Jūs varat izmantot Whonix maršrutu (tikai Windows host OS šīs rokasgrāmatas ietvaros).
  • Ja atrodaties naidīgā vidē, kur Tor/VPN izmantošana vien ir neiespējama/bīstama/uzticama:
    • Jūs varētu izmantot Tails maršrutu (neizmantojot Tor).
    • Jūs varat izmantot Whonix vai Qubes OS (faktiski neizmantojot Whonix).

Visos gadījumos jums vajadzētu izlasīt šīs divas lapas no Whonix dokumentācijas, kas sniegs jums padziļinātu ieskatu par jūsu izvēles iespējām:



Iespējams, jūs sev uzdodat jautājumu: "Kā es varu zināt, vai atrodos naidīgā tiešsaistes vidē, kurā aktivitātes tiek aktīvi uzraudzītas un bloķētas?".


 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Soļi visiem ceļiem.


Pierodiet lietot labākas paroles.


A2 pielikumu: Paroļu un paroļu frāžu vadlīnijas.


Iegūstiet anonīmu tālruņa numuru.


Šo soli izlaidiet, ja neplānojat izveidot anonīmus kontus lielākajā daļā galveno platformu, bet vēlaties tikai anonīmi pārlūkot vai ja platformas, kuras izmantosiet, ļauj reģistrēties bez tālruņa numura.


Fizisks degļa tālrunis un priekšapmaksas SIM karte.


Iegādājieties ierakstāmu tālruni.


Tas ir diezgan vienkārši. Pirms aizbraukšanas atstājiet viedtālruni izslēgtu vai izslēdziet to. Paņemiet naudu un dodieties uz kādu nejaušu blusu tirgu vai nelielu veikaliņu (ideālā gadījumā tādu, kurā nav videonovērošanas kameras ne iekšpusē, ne ārpusē un kurā jūs izvairītos no fotografēšanas/filmēšanas) un vienkārši iegādājieties lētāko tālruni, ko varat atrast, maksājot skaidrā naudā un nesniedzot nekādu personisko informāciju. Tam jābūt tikai darba kārtībā.


Personīgi es ieteiktu iegādāties vecu "dumbphone" ar noņemamu akumulatoru (vecu Nokia, ja jūsu mobilo sakaru tīkli vēl ļauj tiem pieslēgties, jo dažās valstīs 1G-2G pilnībā pārtraukta). Tas ir tādēļ, lai izvairītos no automātiskas telemetrijas/diagnostikas datu nosūtīšanas/ievākšanas pašā tālrunī. Nekādā gadījumā nevajadzētu pieslēgt šo tālruni pie Wi-Fi.


Ļoti svarīgi ir arī nekad neieslēgt šo tālruņa degli (pat bez SIM kartes) jebkurā ģeogrāfiskā vietā, kas varētu norādīt uz jums (piemēram, mājās/darba vietā), un nekad tajā pašā vietā, kur atrodas cits jūsu zināmais viedtālrunis (jo tam ir IMEI/IMSI, kas var viegli norādīt uz jums). Tas var šķist liels apgrūtinājums, taču tā nav, jo šie tālruņi tiek izmantoti tikai iestatīšanas/pierakstīšanās procesa laikā un laiku pa laikam verifikācijai.


Skatīt N pielikumu: Brīdinājums par viedtālruņiem un viedierīcēm.


Pirms nākamā soļa veikšanas jāpārbauda, vai tālrunis ir darba kārtībā. Taču es atkārtošos un vēlreiz norādīšu, ka ir svarīgi, dodoties ceļā, atstāt viedtālruni mājās (vai izslēgt to pirms došanās ceļā, ja jums tas ir jāglabā) un pārbaudīt tālruni nejaušā vietā, kuru nevar izsekot līdz jums (un vēlreiz atkārtoju, nedariet to videonovērošanas kameras priekšā, izvairieties no kamerām, apzinieties savu apkārtni). Šajā vietā nav nepieciešams arī Wi-Fi.


Kad esat pārliecināts, ka tālrunis ir darba kārtībā, atspējojiet Bluetooth, tad izslēdziet tālruni (ja varat, izņemiet akumulatoru) un dodieties mājās, lai atsāktu parastās darbības. Pārejiet uz nākamo soli.


Iegādājieties anonīmu priekšapmaksas SIM karti.


Šī ir vissarežģītākā daļa visā šajā rokasgrāmatā. Tas ir SPOF (Single Point of Failure). Vietas, kur joprojām var iegādāties priekšapmaksas SIM kartes bez ID reģistrācijas, kļūst arvien ierobežotākas dažādu KYC tipa noteikumu dēļ.


Tāpēc šeit ir saraksts ar vietām, kur tās joprojām var iegādāties: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org].


Jums vajadzētu būt iespējai atrast vietu, kas nav "ne pārāk tālu", un vienkārši fiziski tur doties, lai iegādātos dažas priekšapmaksas kartes un papildināšanas kuponus ar skaidru naudu. Pirms došanās ceļā pārliecinieties, vai nav pieņemts likums, kas noteiktu obligātu reģistrāciju (ja iepriekš minētā wiki nav atjaunināta). Centieties izvairīties no videonovērošanas un kamerām un neaizmirstiet iegādāties papildināšanas kuponu kopā ar SIM karti (ja tā nav pakete), jo lielākajai daļai priekšapmaksas karšu pirms lietošanas būs nepieciešams papildinājums.


Skatīt N pielikumu: Brīdinājums par viedtālruņiem un viedierīcēm.


Pirms došanās pie mobilo sakaru operatoriem, kas pārdod priekšapmaksas SIM kartes, divreiz pārliecinieties, vai tie pieņem SIM kartes aktivizēšanu un papildināšanu bez jebkāda veida identifikācijas reģistrācijas. Ideālā gadījumā tiem būtu jāpieņem SIM aktivizēšana un papildināšana no valsts, kurā dzīvojat.


Personīgi es ieteiktu GiffGaff Apvienotajā Karalistē, jo tie ir "pieejami", neprasa identifikāciju aktivizēšanai un papildināšanai un pat ļauj mainīt numuru līdz 2 reizēm, izmantojot to tīmekļa vietni. Tādējādi ar vienu GiffGaff priekšapmaksas SIM karti jūs varēsiet izmantot 3 numurus savām vajadzībām.


Pēc aktivizēšanas/ papildināšanas un pirms došanās mājās izslēdziet tālruni. Nekad neieslēdziet to vēlreiz, ja vien neatrodaties vietā, kur var atklāt jūsu identitāti, un ja viedtālrunis nav izslēgts pirms došanās uz šo "ne jūsu mājas" vietu.


Tiešsaistes tālruņa numurs (mazāk ieteicams).


PAZIŅOJUMS: Nemēģiniet to darīt, kamēr neesat pabeidzis drošas vides iestatīšanu saskaņā ar kādu no izvēlētajiem maršrutiem. Šim solim būs nepieciešama piekļuve tiešsaistē, un to drīkst veikt tikai no anonīma tīkla. Nedariet to no zināmas/neaizsargātas vides. Izlaidiet šo darbību, līdz esat pabeidzis vienu no maršrutiem.


Ir daudzi komerciāli pakalpojumi, kas piedāvā numurus SMS īsziņu saņemšanai tiešsaistē, taču lielākajā daļā no tiem principā nav anonimitātes/privātuma, un tie nevar būt noderīgi, jo vairums sociālo plašsaziņas līdzekļu platformu nosaka ierobežojumu, cik reizes tālruņa numuru var izmantot reģistrācijai.


Ir daži forumi un subredīti (piemēram, r/phoneverification/), kuros lietotāji par nelielu samaksu (izmantojot PayPal vai kādu kripto maksājumu) piedāvā šādu SMS īsziņu saņemšanas pakalpojumu. Diemžēl tie ir pilni ar krāpniekiem un ļoti riskanti anonimitātes ziņā. Jums nekādā gadījumā nevajadzētu tos izmantot.


Līdz šim es nezinu nevienu cienījamu pakalpojumu, kas piedāvātu šo pakalpojumu un pieņemtu maksājumus skaidrā naudā (piemēram, pa pastu) kā daži VPN pakalpojumu sniedzēji. Taču ir daži pakalpojumi, kas nodrošina tiešsaistes tālruņa numurus un pieņem Monero, kas varētu būt samērīgi anonīmi (tomēr mazāk ieteicami nekā iepriekšējā nodaļā minētais fiziskais veids), kurus jūs varētu apsvērt:



Ir vēl dažas citas iespējas, kas uzskaitītas šeit: https: //cryptwerk.com/companies/sms/xmr/ [Archive.org]. Izmantojiet uz savu risku.


DISCLAIMER: Es nevaru galvot par nevienu no šiem pakalpojumu sniedzējiem, tāpēc es joprojām iesaku to darīt fiziski. Šajā gadījumā jums būs jāpaļaujas uz Monero anonimitāti, un jums nevajadzētu izmantot nevienu pakalpojumu, kas pieprasa jebkāda veida identifikāciju, izmantojot savu īsto identitāti. Lūdzu, izlasiet šo Monero atrunu.



Tāpēc IMHO, iespējams, ir tikai ērtāk, lētāk un mazāk riskanti vienkārši iegādāties priekšapmaksas SIM karti kādā no fiziskajām vietām, kur tās joprojām pārdod par skaidru naudu, neprasot reģistrēt personas apliecību. Bet vismaz ir alternatīva, ja jums nav citas iespējas.


Iegādājieties USB atslēgu.


Iegādājieties vismaz vienu vai divus pienācīga izmēra vispārējos USB atslēgas (vismaz 16 GB, bet es ieteiktu 32 GB).


Lūdzu, nepērciet un nelietojiet tādas viltīgas paššifrējošas ierīces kā šīs: https: //syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Dažas no tām var būt ļoti efektīvas, bet daudzas ir viltīgas ierīces, kas nepiedāvā reālu aizsardzību.


Atrodiet drošas vietas ar pienācīgu publisko Wi-Fi.


Jums jāatrod drošas vietas, kur varēsiet veikt sensitīvas darbības, izmantojot publiski pieejamu Wi-Fi (bez konta/ID reģistrācijas, bez videonovērošanas).


Tā var būt jebkura vieta, kas nebūs tieši saistīta ar jums (jūsu mājām/darbu) un kur varat kādu laiku izmantot Wi-Fi, netiktu traucēts. Bet arī vieta, kur to var darīt, lai neviens jūs "nepamanītu".


Ja jums šķiet, ka Starbucks ir laba ideja, pārdomājiet to vēlreiz:


  • Iespējams, ka visos viņu veikalos ir videonovērošanas kameras, un viņi šos ierakstus glabā nezināmu laiku.
  • Lielākajā daļā veikalu jums būs jāpērk kafija, lai saņemtu Wi-Fi piekļuves kodu. Ja par šo kafiju maksāsiet ar elektronisku metodi, viņi varēs sasaistīt jūsu Wi-Fi piekļuvi ar jūsu identitāti.

Situācijas apzināšanās ir ļoti svarīga, un jums pastāvīgi jāuzmanās no apkārtējās vides un jāizvairās no tūristu apmeklētām vietām, it kā tās būtu pārņēmusi Ebolas vīruss. Jūs vēlaties izvairīties no parādīšanās jebkurā fotoattēlā/video, kamēr kāds uzņem selfiju, veido TikTok video vai ievieto kādu ceļojuma attēlu savā Instagram. Ja jūs to darāt, atcerieties, ka ir liela iespēja, ka šie attēli nonāks tiešsaistē (publiski vai privāti) ar tiem pievienotiem pilniem metadatiem (laiks/datums/ģeogrāfiskā atrašanās vieta) un jūsu seju. Atcerieties, ka tās var indeksēt un indeksēs Facebook/Google/Yandex/Apple un, iespējams, visas trīs burtu aģentūras.


Lai gan tas vēl nebūs pieejams jūsu vietējiem policistiem, tas varētu būt pieejams tuvākajā nākotnē.


Ideālā gadījumā jums būs nepieciešams 3-5 dažādu šādu vietu komplekts, lai izvairītos no vienas un tās pašas vietas izmantošanas divas reizes. Dažādiem šajā rokasgrāmatā minētajiem soļiem būs nepieciešami vairāki braucieni vairāku nedēļu laikā.


Varētu arī apsvērt iespēju pieslēgties šīm vietām no droša attāluma, lai nodrošinātu lielāku drošību. Skatīt Q pielikumu: Liela attāluma antenas izmantošana, lai pieslēgtos publiskajiem Wi-Fis no droša attāluma.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Astiņu ceļš.


Šī rokasgrāmatas daļa palīdzēs jums iestatīt Tails, ja ir izpildīts kāds no šiem nosacījumiem:


  • Jūs nevarat atļauties speciālu klēpjdatoru
  • Jūsu specializētais klēpjdators ir pārāk vecs un lēns.
  • Jums ir ļoti zemas IT prasmes
  • Jūs tik un tā nolemjat izmantot Tails

Tails nozīmē Amnesic Incognito Live System. Tā ir bootējama Live operētājsistēma, kas darbojas no USB atslēgas un ir izstrādāta tā, lai neatstātu nekādas pēdas un visus savienojumus veiktu, izmantojot Tor tīklu.


Tails USB zibatmiņu ievietojiet savā klēpjdatorā, ielādējiet to, un jums ir pilnvērtīga operētājsistēma, kas darbojas, domājot par privātumu un anonimitāti. Tiklīdz jūs izslēgsiet datoru, viss pazudīs, ja vien jūs to kaut kur neesat saglabājis.


Tails ir ļoti vienkāršs veids, kā ātri un bez lielām mācībām sākt darbu ar to, kas jums ir. Tai ir plaša dokumentācija un pamācības.


BRĪDINĀJUMS: Tails ne vienmēr ir atjaunināta komplektācijā iekļautā programmatūra. Un ne vienmēr ir atjaunināti arī Tor pārlūka atjauninājumi. Jums vienmēr jāpārliecinās, ka izmantojat jaunāko Tails versiju, un jābūt īpaši piesardzīgiem, izmantojot Tails komplektā iekļautās programmas, kas var būt neaizsargātas pret ekspluatāciju un atklāt jūsuatrašanāsvietu265.


Tomēr tai ir daži trūkumi:


  • Tails izmanto Tor, tāpēc, lai piekļūtu jebkuram resursam internetā, jūs izmantosiet Tor. Jau tas vien padarīs jūs aizdomīgu vairumā platformu, kurās vēlaties izveidot anonīmus kontus (sīkāk tas tiks paskaidrots vēlāk).
  • Arī jūsu interneta pakalpojumu sniedzējs (neatkarīgi no tā, vai tas ir jūsu vai kāds publisks Wi-Fi) redzēs, ka jūs izmantojat Tor, un tas pats par sevi var padarīt jūs aizdomīgu.
  • Tails nav iekļautas (dabiski) dažas programmatūras, ko jūs varētu vēlēties izmantot vēlāk, un tas diezgan sarežģī situāciju, ja vēlaties palaist dažas specifiskas lietas (piemēram, Android emulatoru).
  • Tails izmanto Tor pārlūku, kas, lai gan ir ļoti drošs, tiks atklāts arī lielākajā daļā platformu un traucēs jums izveidot anonīmu identitāti daudzās platformās.
  • Tails neaizsargās jūs vairāk no 5$ atslēgas8.
  • Tor pats par sevi var būt nepietiekams, lai aizsargātu jūs no pretinieka, kuram ir pietiekami daudz resursu, kā paskaidrots iepriekš.

Svarīga piezīme: Ja jūsu klēpjdators tiek uzraudzīts/uzraudzīts un ir ieviesti daži vietējie ierobežojumi, izlasiet U pielikumu: Kā apiet (dažus) vietējos ierobežojumus uz uzraudzītiem datoriem.


Pirms turpināt darbu, izlasiet arī Tails dokumentāciju, brīdinājumus un ierobežojumus https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org].


Ņemot to visu vērā, kā arī to, ka viņu dokumentācija ir lieliska, es jūs vienkārši novirzīšu uz viņu labi izstrādāto un labi uzturēto pamācību:


https://tails.boum.org/install/index.en.html [Archive.org], izvēlieties savu garšu un turpiniet.


Kad esat pabeidzis un jūsu klēpjdatorā ir darbojošās Tails, dodieties uz posmu Savu anonīmo tiešsaistes identitāšu izveide daudz tālāk šajā rokasgrāmatā.


Ja cenzūras vai citu iemeslu dēļ jums ir problēmas piekļūt Tor, varat mēģināt izmantot Tor Bridges, sekojot šai Tails pamācībai: https: //tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] un atrast vairāk informācijas par tiem Tor dokumentācijā https://2019.www.torproject.org/docs/bridges [Archive.org].


Ja uzskatāt, ka izmantot tikai Tor ir bīstami/šaubīgi, skatiet P pielikumu: Iespējami droša piekļuve internetam, ja Tor/VPN nav iespējams.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Pastāvīga ticama noliegšana, izmantojot Whonix ietvaros Tails.


Apsveriet iespēju pārbaudīt https://github.com/aforensics/HiddenVM [Archive.org] projektu Tails.


Šis projekts ir gudra ideja par viena klikšķa pašpietiekamu VM risinājumu, ko varētu saglabāt šifrētā diskā, izmantojot ticamu noliegšanu256 (skatiet sadaļu The Whonix route: pirmās nodaļas un arī dažus skaidrojumus par ticamu noliegšanu, kā arī sadaļu How to securely delete specific files/folders/data on your HDD/SSD and Thumb drives: (Kā droši izdzēst konkrētus failus/mapes/datus HDD/SSD un zibatmiņas diskos ) šīs rokasgrāmatas beigās, lai iegūtu plašāku izpratni).


Tas ļautu izveidot hibrīdsistēmu, sajaucot Tails ar šajā rokasgrāmatā aprakstītā Whonix maršruta virtualizācijas iespējām.
2021 08 04 17 12


Piezīme: skatiet sadaļu Izvēlēties savienojamības metodi Whonix maršrutā, lai iegūtu vairāk paskaidrojumu par plūsmas izolāciju.


Īsumā:


  • Jūs varētu palaist nepastāvīgu Tails no vienas USB atslēgas (saskaņā ar viņu ieteikumiem).
  • Jūs varētu glabāt noturīgus VM sekundārā ietverts, kas varētu būt šifrēts normāli vai izmantojot Veracrypt ticamas noliegšanas funkciju (tie varētu būt, piemēram, Whonix VM vai jebkurš cits).
  • Jūs gūsiet labumu no pievienotās Tor plūsmas izolēšanas funkcijas (skatiet Tor over VPN, lai uzzinātu vairāk par plūsmas izolēšanu).

Tādā gadījumā, kā izklāstīts projektā, jūsu datorā nedrīkstētu būt nekādu jūsu darbības pēdu, un sensitīvo darbu varētu veikt no VM, kas glabājas slēptā konteinerā, kuru nevarētu viegli atklāt mīksts pretinieks.


Šī iespēja ir īpaši interesanta, lai "ceļotu pa gaisu" un mazinātu kriminālistikas uzbrukumus, vienlaikus saglabājot sava darba noturību. Jums ir nepieciešami tikai 2 USB atslēgas (viena ar Tails un viena ar Veracrypt konteineru, kas satur noturīgu Whonix). Pirmais USB atslēga izskatās, ka tajā ir tikai Tails, bet otrais USB šķiet, ka tajā ir tikai izlases atkritumi, bet tajā ir mānekļa sējums, ko varat parādīt, lai to ticami noliegtu.


Jūs varētu arī aizdomāties, vai tas radīs "Tor pār Tor" iestatījumu, bet tā tas nenotiks. Whonix VM piekļūs tīklam tieši caur Clearnet, nevis izmantojot Tails Onion maršrutēšanu.


Nākotnē to varētu atbalstīt arī pats Whonix projekts, kā paskaidrots šeit: https: //www.whonix.org/wiki/Whonix-Host [Archive.org], bet pagaidām tas nav ieteicams galalietotājiem.


Atcerieties, ka šifrēšana ar vai bez ticamas noliegšanas iespējas nav sudraba lode, un spīdzināšanas gadījumā tā būs maz noderīga. Patiesībā, atkarībā no tā, kas būtu jūsu pretinieks (jūsu draudu modelis), varētu būt prātīgi vispār neizmantot Veracrypt (agrāk TrueCrypt), kā parādīts šajā demonstrācijā: https: //defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Iespējamā noliegšana ir efektīva tikai pret "maigiem" likumīgiem pretiniekiem, kas neizmantos fiziskus līdzekļus.


Skatīt https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
[Wikiless] [Archive.org].


UZMANĪBU: Ja apsverat šādu slēptu VM glabāšanu ārējā SSD disk ā, lūdzu, skatiet K pielikumu: Apsvērumi par ārējo SSD disku izmantošanu un sadaļas " Izpratne par cieto disku un SSD ":


  • Neizmantojiet slēptos sējumus SSD diskos, jo Veracrypt to neatbalsta/neiesaka.
  • Tā vietā šifrēto sējumu vietā izmantojiet failu konteinerus.
  • Pārliecinieties, ka zināt, kā pareizi iztīrīt datus no ārējā SSD diska.

Šeit ir mana rokasgrāmata par to, kā to panākt:


Pirmā darbība.


  • Lejupielādējiet jaunāko HiddenVM versiju no https://github.com/aforensics/HiddenVM/releases [Archive.org].
  • Lejupielādēt jaunāko Whonix XFCE versiju no https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
  • Sagatavojiet USB atslēgu/disku ar Veracrypt
    • USB diskā/atslēgas diskā izveidojiet slēpto sējumu (es ieteiktu slēptajam sējumam vismaz 16 GB).
    • Ārējā sējumā ievietojiet dažus viltus failus.
    • Slēptajā sējumā ievietojiet HiddenVM aplikācijas attēlu failu
    • Slēptajā sējumā ievietojiet Whonix XFCE ova failu
  • Ievietojiet Tails
  • Iestatiet tastatūras izkārtojumu, kā vēlaties.
  • Izvēlieties Papildu iestatījumi un iestatiet administratora (root) paroli (nepieciešama HiddenVM instalēšanai).
  • Palaidiet Tails
  • Pievienojieties drošam wi-fi (šis ir obligāts solis, lai viss pārējais darbotos).
  • Iet uz Lietderības un atbloķējiet Veracrypt (slēpto) sējumu (neaizmirstiet atzīmēt izvēles rūtiņu Slēptais sējums).
  • Palaidiet HiddenVM lietotnes imidžu
  • Kad tiks piedāvāts izvēlēties mapi, izvēlieties slēptā sējuma sakni (kur atrodas Whonix OVA un HiddenVM lietotnes attēla faili).
  • Ļaujiet tam rīkoties (Tas būtībā instalēs Virtualbox Tails sistēmā ar vienu klikšķi).
  • Kad tas ir izdarīts, automātiski jāiedarbina Virtualbox Manager.
  • Importējiet Whonix OVA failus (skatiet sadaļu Whonix Virtual Machines:)

Ja importēšanas laikā rodas problēmas, piemēram, "NS_ERROR_INVALID_ARG (0x80070057)", tas, iespējams, ir tāpēc, ka jūsu slēptajā sējumā nav pietiekami daudz vietas Whonix. Whonix iesaka 32 GB brīvas vietas, bet tas, iespējams, nav nepieciešams, un iesākumam vajadzētu pietikt ar 10 GB. Šo kļūdu var mēģināt novērst, pārdēvējot Whonix *.OVA failu par *.TAR un dekompresējot to Tails sistēmā. Kad esat pabeidzis dekompresiju, izdzēsiet OVA failu un importējiet pārējos failus, izmantojot importēšanas vedni. Šoreiz tas varētu izdoties.


Turpmākās darbības.


  • Ievietojiet operētājsistēmu "astes".
  • Savienojieties ar Wi-Fi
  • Slēptā sējuma atbloķēšana
  • Palaidiet HiddenVM lietotni
  • Tam automātiski jāatver VirtualBox pārvaldnieks un jāparāda jūsu iepriekšējie VM no pirmās palaišanas.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Pasākumi visiem pārējiem ceļiem.


Iegādājieties īpašu klēpjdatoru sensitīvām darbībām.


Ideālā gadījumā jums vajadzētu iegūt īpašu klēpjdatoru, kas nebūs ar jums nekādā vienkāršā veidā saistīts (ideālā gadījumā par to būtu jāmaksā anonīmi ar skaidru naudu un jāizmanto tie paši piesardzības pasākumi, kas iepriekš minēti attiecībā uz tālruni un SIM karti). Tas ir ieteicams, bet nav obligāti, jo šī rokasgrāmata palīdzēs jums pēc iespējas vairāk nostiprināt klēpjdatoru, lai novērstu datu noplūdi ar dažādiem līdzekļiem. Starp jūsu tiešsaistes identitātēm un jums būs vairākas aizsardzības līnijas, kas neļaus lielākajai daļai pretinieku novērst jūsu anonimitātes atcelšanu, izņemot valsts/globālos dalībniekus ar ievērojamiem resursiem.


Šim klēpjdatoram ideālā gadījumā vajadzētu būt tīram, svaigi instalētam klēpjdatoram (ar operētājsistēmu Windows, Linux vai MacOS), kas ir tīrs no jūsu parastajām ikdienas darbībām un ir bezsaistes režīmā (vēl nekad nav pieslēgts tīklam). Windows klēpjdatora gadījumā, un, ja jūs to izmantojāt pirms šādas tīras instalēšanas, tam arī nevajadzētu būt aktivizētam (atkārtoti instalētam bez produkta atslēgas). Īpaši MacBook gadījumā tas nekad iepriekš nekādā veidā nedrīkst būt bijis saistīts ar jūsu identitāti. Tātad, pērciet lietotas preces par skaidru naudu no nezināma svešinieka, kurš nezina jūsu identitāti.


Tas tiek darīts, lai mazinātu dažas problēmas nākotnē, ja tiešsaistē notiktu informācijas noplūde (tostarp telemetrija no jūsu OS vai lietotnēm), kas varētu kompromitēt jebkādus unikālus klēpjdatora identifikatorus tā lietošanas laikā (MAC adresi, Bluetooth adresi un produkta atslēgu...). Bet arī, lai izvairītos no izsekošanas gadījumā, ja vēlaties atbrīvoties no klēpjdatora.


Ja šo klēpjdatoru iepriekš izmantojāt dažādiem mērķiem (piemēram, ikdienas darbiem), visi tā aparatūras identifikatori, iespējams, ir zināmi un reģistrēti Microsoft vai Apple. Ja vēlāk kāds no šiem identifikatoriem tiek kompromitēts (ar ļaunprātīgu programmatūru, telemetriju, ļaunprātīgu izmantošanu, cilvēka kļūdām...), tie var novest atpakaļ pie jums.


Klēpjdatorā jābūt vismaz 250 GB diska vietas, vismaz 6 GB (ideālā gadījumā 8 GB vai 16 GB ) operatīvās atmiņas, un tam jāspēj vienlaicīgi darbināt vairākas virtuālās mašīnas. Tam jābūt ar darbspējīgu akumulatoru, kas darbojas dažas stundas.


Šim klēpjdatoram var būt cietais disks (7200rpm) vai SSD/NVMe disks. Abām iespējām ir savas priekšrocības un problēmas, kas tiks sīkāk aprakstītas vēlāk.


Visus turpmākos ar šo klēpjdatoru veicamos tiešsaistes pasākumus ideālā gadījumā vajadzētu veikt no droša tīkla, piemēram, publiskā Wi-Fi tīkla drošā vietā (skatiet sadaļu Atrodiet drošas vietas ar piemērotu publisko Wi-Fi). Taču vispirms vairāki soļi būs jāveic bezsaistē.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Daži klēpjdatora ieteikumi.


Ja varat to atļauties, apsveriet iespēju iegādāties Purism Librem klēpjdatoru(https://puri.sm [Archive.org]) vai System76 klēpjdatoru(https://system76.com/ [ Archive.org]), vienlaikus izmantojot Coreboot (kurā Intel IME ir atspējots jau no rūpnīcas).


Citos gadījumos es noteikti ieteiktu iegādāties biznesa klases klēpjdatorus (t.i., nevis patērētāju/ spēļu klases klēpjdatorus), ja varat. Piemēram, kādu ThinkPad no Lenovo (mans personīgais favorīts). Šeit ir saraksti ar klēpjdatoriem, kas pašlaik atbalsta Libreboot, un citiem, kuros jūs varat paši flash Coreboot (kas ļaus jums atspējot Intel IME vai AMD PSP):



Tas ir tāpēc, ka šie biznesa klēpjdatori parasti piedāvā labākas un pielāgojamākas drošības funkcijas (īpaši BIOS/UEFI iestatījumos) ar ilgāku atbalstu nekā lielākā daļa patērētāju klēpjdatoru (Asus, MSI, Gigabyte, Acer...). Interesantākās funkcijas, kas jāmeklē, IMHO ir šādas:


  • Labāki pielāgoti Secure Boot iestatījumi (kur var selektīvi pārvaldīt visus taustiņus, nevis tikai izmantot standarta taustiņus).
  • HDD/SSD paroles papildus BIOS/UEFI parolēm.
  • AMD klēpjdatori varētu būt interesantāki, jo daži nodrošina iespēju izslēgt AMD PSP (AMD ekvivalents Intel IME) no BIOS/UEFI iestatījumiem pēc noklusējuma. Turklāt AMD PSP tika pārbaudīta, un pretēji IME netika konstatēts, ka tai būtu kādas "ļaunas" funkcijas. Tomēr, ja izvēlaties Qubes OS Route, apsveriet Intel, jo viņi neatbalsta AMD ar savu pret ļaunumu vērsto sistēmu.
  • Secure Wipe rīki no BIOS (īpaši noderīgi SSD/NVMe diskiem, sk. pielikumu M: BIOS/UEFI opcijas disku tīrīšanai dažādās grupās).
  • Labāka kontrole pār izvēlēto perifērijas ierīču (USB pieslēgvietu, Wi-Fis, Bluetooth, kameras, mikrofona ...) atspējošanu/atļaušanu.
  • Labākas drošības funkcijas ar virtualizāciju.
  • Vietējā aizsardzība pret viltojumiem.
  • Ilgāks atbalsts ar BIOS/UEFI atjauninājumiem (un turpmākiem BIOS/UEFI drošības atjauninājumiem).
  • Dažas no tām atbalsta Libreboot
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Jūsu klēpjdatora Bios/UEFI/Firmware iestatījumi.


DATORS.


Šiem iestatījumiem var piekļūt, izmantojot klēpjdatora starta izvēlni. Šeit ir laba HP pamācība, kurā izskaidroti visi veidi, kā piekļūt dažādu datoru BIOS: https: //store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Parasti piekļuve notiek, nospiežot noteiktu taustiņu (F1, F2 vai Del) bootēšanas laikā (pirms operētājsistēmas).


Kad esat tur nonācis, jums būs jāpiemēro daži ieteicamie iestatījumi:


  • Ja varat, pilnībā atslēdziet Bluetooth.
  • Ja varat, atslēdziet biometriju (pirkstu nospiedumu skeneri), ja jums ir tāds. Tomēr jūs varētu pievienot biometrisko papildu pārbaudi tikai palaišanai (pirms palaišanas), bet ne piekļuvei BIOS/UEFI iestatījumiem.
  • Ja varat, atspējojiet tīmekļa kameru un mikrofonu.
  • Ieslēdziet BIOS/UEFI paroli un paroles vietā izmantojiet garu piekļuves frāzi (ja varat) un pārliecinieties, ka šī parole ir nepieciešama:
    • Piekļuve pašiem BIOS/UEFI iestatījumiem.
    • Bootēšanas kārtības maiņa
    • Ierīces palaišanai/uzslēgšanai
  • Iespējot HDD/SSD paroli, ja šī funkcija ir pieejama. Šī funkcija pievienos vēl vienu paroli uz paša HDD/SSD (nevis BIOS/UEFI programmaparatūrā), kas neļaus šo HDD/SSD izmantot citā datorā bez paroles. Ņemiet vērā, ka šī funkcija ir raksturīga arī dažiem ražotājiem, un var būt nepieciešama īpaša programmatūra, lai atbloķētu šo disku pilnīgi citā datorā.
  • Ja iespējams, nepieļaujiet piekļuvi sāknēšanas opcijām (sāknēšanas secībai), nenorādot BIOS/UEFI paroli.
  • Ja varat, atslēdziet USB/HDMI vai jebkuru citu portu (Ethernet, Firewire, SD karti...).
  • Ja varat, atspējojiet Intel ME.
  • Ja varat, atspējojiet AMD PSP (AMD ekvivalents IME, skatīt sadaļu Jūsu procesors).
  • Ja plānojat izmantot QubesOS, atspējojiet Secure Boot, jo tā to neatbalsta. Ja plānojat izmantot Linux/Windows, atstājiet to ieslēgtu.
  • Pārbaudiet, vai jūsu klēpjdatora BIOS ir drošas dzēšanas opcija cietajam diskam/SSD, kas varētu būt ērta nepieciešamības gadījumā.

Ieslēdziet tās tikai "nepieciešamības gadījumā" un pēc lietošanas atkal atslēdziet. Tas var palīdzēt mazināt dažus uzbrukumus gadījumā, ja jūsu klēpjdators tiek sagrābts, kamēr tas ir bloķēts, bet joprojām ieslēgts, VAI arī tad, ja jums nācās to diezgan ātri izslēgt un kāds to pārņēma savā īpašumā (šī tēma tiks izskaidrota turpmāk šajā rokasgrāmatā).


Par drošu palaišanu.


Īsumā tā ir UEFI drošības funkcija, kas izstrādāta, lai nepieļautu, ka jūsu datorā tiek palaista operētājsistēma, kuras sāknētājs nav parakstīts ar īpašām atslēgām, kas glabājas jūsu klēpjdatora UEFI programmaparatūrā.


Būtībā, ja operētājsistēmas (vai bootloader) to atbalsta, jūs varat saglabāt savas bootloader atslēgas UEFI programmaparatūrā, un tas novērsīs jebkuras neatļautas operētājsistēmas (piemēram, live OS USB vai līdzīgas) palaišanu.


Secure Boot iestatījumus aizsargā parole, ko iestatāt, lai piekļūtu BIOS/UEFI iestatījumiem. Ja jums ir šī parole, varat atspējot Secure Boot un ļaut sistēmā bootēt neparakstītas operētājsistēmas. Tas var palīdzēt mazināt dažus Evil-Maid uzbrukumus (paskaidrots tālāk šajā rokasgrāmatā).


Vairumā gadījumu Secure Boot pēc noklusējuma ir atspējota vai arī ir iespējota, bet "iestatīšanas" režīmā, kas ļauj bootēt jebkuru sistēmu. Lai Secure Boot darbotos, operētājsistēmai ir jāatbalsta šī sistēma un pēc tam jāparaksta tās bootloader un šīs parakstīšanas atslēgas jāievada UEFI programmaparatūrā. Pēc tam jums būs jādodas uz BIOS/UEFI iestatījumiem un jāsaglabā šīs no operētājsistēmas izspiestās atslēgas, kā arī jāmaina Secure Boot no iestatīšanas uz lietotāja režīmu (vai dažos gadījumos - uz pielāgotu režīmu).


Pēc šī soļa veikšanas varēs ielādēt tikai tās operētājsistēmas, no kurām jūsu UEFI programmaparatūra var pārbaudīt bootloader integritāti.


Lielākajā daļā klēpjdatoru drošās palaišanas iestatījumos jau ir saglabātas dažas noklusējuma atslēgas. Parasti tās ir no paša ražotāja vai dažiem uzņēmumiem, piemēram, Microsoft. Tas nozīmē, ka pēc noklusējuma dažus USB diskus vienmēr būs iespējams ielādēt pat ar drošas ielādes funkciju. To vidū ir Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla un daudzas citas. Tomēr QubesOS šobrīd vispār neatbalsta Secure Boot.


Dažos klēpjdatoros jūs varat pārvaldīt šīs atslēgas un noņemt tās, kuras nevēlaties, izmantojot "pielāgoto režīmu", lai autorizētu tikai savu bootloader, ko jūs varētu parakstīt pats, ja patiešām vēlaties.


Tātad, no kā jūs aizsargā Secure Boot? Tā pasargās jūsu klēpjdatoru no neparakstītu (OS nodrošinātāja) sāknēšanas ar, piemēram, ievadītu ļaunprātīgu programmatūru.


No kā Secure Boot jūs neaizsargā?


  • Secure Boot nešifrē jūsu disku, un pretinieks joprojām var vienkārši izņemt disku no jūsu klēpjdatora un iegūt no tā datus, izmantojot citu ierīci. Tāpēc Secure Boot ir bezjēdzīga bez pilnīgas diska šifrēšanas.
  • Secure Boot neaizsargā jūs no parakstīta sākumiekrāvēja, kas būtu kompromitēts un ko parakstījis pats ražotājs (piemēram, Microsoft Windows gadījumā). Mūsdienās vairums izplatītāko Linux izplatīšanu ir parakstītas, un tās tiks ielādētas ar iespējotu Secure Boot.
  • Secure Boot var būt nepilnības un ļaunprātīgi izmantotāji tāpat kā jebkurā citā sistēmā. Ja izmantojat vecu klēpjdatoru, kam nav pieejami jaunie BIOS/UEFI atjauninājumi, tos var neatrisināt.

Turklāt ir vairāki uzbrukumi Secure Boot sistēmai, kas (detalizēti) izskaidroti šajos tehniskajos videoklipos:



Tātad tas var būt noderīgs kā papildu pasākums pret dažiem pretiniekiem, bet ne visiem. Secure Boot pati par sevi nav cietā diska šifrēšana. Tas ir papildu slānis, bet tas ir viss.


Es joprojām iesaku to saglabāt ieslēgtu, ja varat.



Mac.


Atvelciet brīdi, lai iestatītu programmaparatūras paroli saskaņā ar šeit sniegto pamācību: https: //support.apple.com/en-au/HT204455 [Archive.org].


Jums vajadzētu arī ieslēgt programmaparatūras paroles atjaunošanas aizsardzību (pieejama no Catalina) saskaņā ar dokumentāciju šeit: https: //support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].


Šī funkcija mazinās iespēju dažiem pretiniekiem izmantot aparatūras uzlaušanu, lai atspējotu/apietu jūsu programmaparatūras paroli. Ņemiet vērā, ka tas novērsīs arī pašu Apple piekļuvi programmaparatūrai remonta gadījumā.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Fiziski pasargājiet savu klēpjdatoru.


Kādā brīdī jūs neizbēgami atstāsiet šo klēpjdatoru kaut kur vienu. Jūs negulēsiet ar to un neņemsiet to līdzi visur katru dienu. Jums vajadzētu pēc iespējas vairāk apgrūtināt to, lai kāds to varētu bojāt, jums to nepamanot. Tas lielākoties ir noderīgi pret dažiem ierobežotiem pretiniekiem, kuri neizmantos pret jums 5 dolāru atslēgu.


Ir svarīgi zināt, ka dažiem speciālistiem ir triviāli viegli instalēt jūsu klēpjdatorā taustiņu reģistrētāju vai vienkārši izveidot jūsu cietā diska klona kopiju, kas vēlāk ļautu viņiem, izmantojot kriminālistikas metodes, konstatēt šifrētu datu klātbūtni tajā (par to vēlāk).


Šeit ir laba lēta metode, kā padarīt klēpjdatoru drošu pret viltojumiem, izmantojot nagu laku (ar spīdumiem) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (ar attēliem).


Lai gan šī ir laba lēta metode, tā var arī radīt aizdomas, jo ir diezgan "pamanāma" un var atklāt, ka jums "ir kaut kas slēpjams". Tāpēc ir smalkāki veidi, kā panākt tādu pašu rezultātu. Varētu arī, piemēram, veikt klēpjdatora aizmugurējo skrūvju tuvu makro fotogrāfiju vai vienkārši izmantot ļoti nelielu daudzumu sveču vaska vienā no skrūvēm, kas varētu izskatīties pēc parastiem netīrumiem. Pēc tam jūs varētu pārbaudīt, vai nav notikusi manipulācija, salīdzinot skrūvju fotogrāfijas ar jaunām. To orientācija varētu būt nedaudz mainījusies, ja jūsu pretinieks nav bijis pietiekami uzmanīgs (pievelkot tās tieši tāpat kā iepriekš). Vai arī var būt bojāts vasks skrūves galviņas apakšdaļā, salīdzinot ar iepriekšējo.
2021 08 05 07 49

Tādus pašus paņēmienus var izmantot ar USB pieslēgvietām, kur jūs varētu vienkārši ievietot nelielu daudzumu sveču vaska kontaktdakšas iekšpusē, kas tiktu bojāta, ievietojot tajā USB atslēgu.


Riskantākās vidēs pirms regulāras lietošanas pārbaudiet, vai klēpjdators nav bojāts.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Whonix ceļš.


Izvēlieties savu host OS (OS, kas instalēta jūsu klēpjdatorā).


Šajā maršrutā tiks plaši izmantotas virtuālās mašīnas, tām būs nepieciešama uzņēmēja OS, lai palaistu virtualizācijas programmatūru. Šajā rokasgrāmatas daļā jums ir 3 ieteicamās izvēles:


  • Jūsu izvēlētais Linux izplatītājs (izņemot Qubes OS).
  • Windows 10 (vēlams Home edition, jo nav Bitlocker).
  • MacOS (Catalina vai jaunāka versija)

Turklāt pastāv lielas izmaiņas, ka jūsu Mac ir vai ir bijis piesaistīts Apple kontam (iegādes brīdī vai pēc pierakstīšanās), un tāpēc tā unikālie aparatūras identifikatori var norādīt uz jums aparatūras identifikatoru noplūdes gadījumā.


Linux arī ne vienmēr ir labākā izvēle anonimitātei atkarībā no jūsu apdraudējuma modeļa. Tas ir tāpēc, ka, izmantojot Windows, mēs varēsim ērti izmantot ticamu noliegšanu (jeb noliedzamu šifrēšanu) operētājsistēmas līmenī. Windows diemžēl vienlaikus ir arī privātuma murgs, bet tā ir vienīgā (ērtā) iespēja izmantot OS mēroga ticamu noliegšanu. Windows telemetrija un telemetrijas bloķēšana ir arī plaši dokumentēta, kam vajadzētu mazināt daudzas problēmas.


Tātad, kas ir ticama noliegšana? Tā ir iespēja sadarboties ar pretinieku, kas pieprasa piekļuvi jūsu ierīcei/datiem, neatklājot savu patieso noslēpumu. Tas viss, izmantojot noliedzamu šifrēšanu.


Maigs likumīgs pretinieks varētu pieprasīt jūsu šifrēto klēpjdatora paroli. Sākotnēji jūs varētu atteikties izpaust jebkādu paroli (izmantojot savas "tiesības klusēt", "tiesības neuzrādīt sevi par vainīgu"), taču dažās valstīs tiek ieviesti likumi, kas atbrīvo no šādām tiesībām (jo teroristi un "padomā par bērniem"). Tādā gadījumā jums var nākties atklāt paroli vai, iespējams, jums draud cietumsods par necieņas izrādīšanu tiesai. Šajā situācijā jāiesaistās ticamam noliegumam (plausible deniability).


Tad jūs varētu atklāt paroli, bet šī parole dos piekļuvi tikai "ticamiem datiem" (viltus OS). Tiesu eksperti labi zinās, ka jums ir iespējams slēpt datus, taču viņiem nevajadzētu spēt to pierādīt (ja jūs to darīsiet pareizi). Jūs būsiet sadarbojies, un izmeklētājiem būs piekļuve kaut kam, bet ne tam, ko jūs patiesībā vēlaties slēpt. Tā kā pierādīšanas pienākums būtu jāuzņemas viņu pusē, viņiem nebūs citu iespēju, kā vien jums ticēt, ja vien viņu rīcībā nebūs pierādījumu, ka jums ir slēpti dati.


Šo funkciju var izmantot operētājsistēmas līmenī (ticama operētājsistēma un slēpta operētājsistēma) vai failu līmenī, kad jums būs šifrētu failu konteiners (līdzīgi kā zip failā), kurā atkarībā no izmantotās šifrēšanas paroles tiks parādīti dažādi faili.


Tas arī nozīmē, ka jūs varat izveidot savu uzlabotu "ticamas noliegšanas" iestatījumu, izmantojot jebkuru uzņēmēja OS, piemēram, virtuālās mašīnas uzglabājot Veracrypt slēpto sējumu konteinerā (jāuzmanās no pēdām uzņēmēja OS tho, kas būtu jānotīra, ja uzņēmēja OS ir noturīga, skatiet sadaļu Daži papildu pasākumi pret kriminālistiku vēlāk). Ir projekts, kā to panākt Tails sistēmā(https://github.com/aforensics/HiddenVM [Archive.org]), kas padarītu jūsu host OS nepastāvīgu un izmantotu ticamu noliegšanu Tails sistēmā.


Windows gadījumā ticams noliegums ir arī iemesls, kāpēc ideālā gadījumā jums vajadzētu izmantot Windows 10 Home (nevis Pro). Tas ir tāpēc, ka Windows 10 Pro dabiski piedāvā pilna diska šifrēšanas sistēmu (Bitlocker), savukārt Windows 10 Home vispār nepiedāvā pilna diska šifrēšanu. Vēlāk mēs šifrēšanai izmantosim trešās puses atvērtā koda programmatūru, kas ļaus veikt pilna diska šifrēšanu operētājsistēmā Windows 10 Home. Tas sniegs jums labu (ticamu) attaisnojumu, lai izmantotu šo programmatūru. Savukārt šīs programmatūras izmantošana operētājsistēmā Windows 10 Pro būtu aizdomīga.


Piezīme par Linux: Kā ir ar Linux un ticamu noliegšanu? Jā, arī ar Linux ir iespējams panākt ticamu noliegšanu. Taču to ir sarežģīti iestatīt, un IMHO tam ir nepieciešams pietiekami augsts prasmju līmenis, lai, iespējams, jums nebūtu nepieciešams šis ceļvedis, kas jums palīdzētu to izmēģināt.


Diemžēl šifrēšana nav maģija, un ar to ir saistīti daži riski:


Ar šifrēšanu saistītie draudi.


5$ atslēga.


Atcerieties, ka šifrēšana ar vai bez ticamas noliegšanas iespējas nav sudraba lode, un spīdzināšanas gadījumā tā būs maz noderīga. Patiesībā, atkarībā no tā, kas būtu jūsu pretinieks (jūsu draudu modelis), varētu būt prātīgi vispār neizmantot Veracrypt (agrāk TrueCrypt), kā parādīts šajā demonstrācijā: https: //defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Iespējamā noliegšana ir efektīva tikai pret "maigiem" likumīgiem pretiniekiem, kas neizmantos fiziskus līdzekļus. Ja iespējams, izvairieties no ticamas noliegšanas programmatūras (piemēram, Veracrypt) izmantošanas, ja jūsu draudu modelī ir ietverti cieti pretinieki. Tāpēc Windows lietotājiem šādā gadījumā vajadzētu instalēt Windows Pro kā galveno operētājsistēmu un tā vietā izmantot Bitlocker.


Skatīt https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Evil-Maid uzbrukums.


Ļaunprātīgās kalpones uzbrukumi tiek veikti, kad kāds ķērās pie jūsu klēpjdatora, kamēr jūs neesat mājās. Lai instalētu, lai klonētu jūsu cieto disku, instalētu ļaunprātīgu programmatūru vai taustiņu reģistrētāju. Ja viņi var klonēt jūsu cieto disku, viņi var salīdzināt vienu jūsu cietā diska attēlu brīdī, kad to paņēma, kamēr jūs bijāt prombūtnē, ar cietā diska attēlu, kad to no jums konfiscēja. Ja jūs starplaikā atkal izmantojāt klēpjdatoru, kriminālistikas eksperti varētu pierādīt slēpto datu esamību, aplūkojot atšķirības starp abiem attēliem vietā, kurai vajadzētu būt tukšai/neizmantotai. Tas varētu sniegt pārliecinošus pierādījumus par slēpto datu esamību. Ja jūsu klēpjdatorā (programmatūrā vai aparatūrā) tiks instalēts taustiņu reģistrētājs vai ļaunprātīga programmatūra, viņi varēs vienkārši iegūt no jums paroli, lai vēlāk to izmantotu, kad to konfiscēs. Šādus uzbrukumus var veikt jūsu mājās, viesnīcā, robežšķērsošanas vietā vai jebkur, kur atstājat savas ierīces bez uzraudzības.


Šo uzbrukumu varat mazināt, veicot šādus pasākumus (kā ieteikts iepriekš):


  • Lai nepieļautu fizisku piekļuvi klēpjdatora iekšējiem elementiem bez jūsu ziņas, izmantojiet pamataizsardzību pret viltojumiem (kā paskaidrots iepriekš). Tas novērsīs iespēju klonēt jūsu diskus un bez jūsu ziņas instalēt fizisku taustiņu reģistrētāju.
  • Atslēgt visus USB pieslēgumus (kā paskaidrots iepriekš) ar paroli aizsargātā BIOS/UEFI. Arī tad viņi nevarēs tos ieslēgt (fiziski nepieejot pamatplatei, lai atiestatītu BIOS), lai ielādētu USB ierīci, kas varētu klonēt jūsu cieto disku vai instalēt uz programmatūru balstītu ļaunprātīgu programmatūru, kas varētu darboties kā taustiņu reģistrētājs.
  • Iestatiet BIOS/UEFI/Firmware paroles, lai novērstu jebkādu nesankcionētu neautorizētas ierīces palaišanu.
  • Dažās operētājsistēmās un šifrēšanas programmatūrā ir iespējama aizsardzība pret ļaunprātīgo palaidoni. Tas attiecas uz Windows/Veracrypt un QubeOS.

Aukstās palaišanas uzbrukums.


Aukstās palaišanas uzbrukumi ir viltīgāki nekā Evil Maid uzbrukums, bet var būt daļa no Evil Maid uzbrukuma, jo tam nepieciešams, lai pretinieks pārņemtu jūsu klēpjdatoru, kamēr jūs aktīvi izmantojat ierīci vai īsi pēc tam.


Ideja ir diezgan vienkārša, kā parādīts šajā videoklipā, pretinieks teorētiski varētu ātri ielādēt jūsu ierīci, izmantojot īpašu USB atslēgu, kas pēc ierīces izslēgšanas nokopētu tās RAM (atmiņas) saturu. Ja USB pieslēgvietas ir atspējotas vai ja viņiem šķiet, ka nepieciešams vairāk laika, viņi varētu to atvērt un "atdzesēt" atmiņu, izmantojot aerosolu vai citas ķīmiskas vielas (piemēram, šķidro slāpekli), kas novērš atmiņas sabrukšanu. Tad viņi varētu nokopēt atmiņas saturu analīzei. Šajā atmiņas kopijā varētu būt atslēga ierīces atšifrēšanai. Vēlāk mēs piemērosim dažus principus, lai tos mazinātu.


Ticamas noliegšanas gadījumā ir veikti daži kriminālistikas pētījumi par to, kā tehniski pierādīt slēpto datu klātbūtni ar vienkāršu kriminālistikas pārbaudi (bez Cold Boot/Evil Maid uzbrukuma), taču tos apstrīd citi pētījumi un Veracrypt uzturētājs, tāpēc es par tiem vēl pārāk neuztraucos.


Tiem pašiem pasākumiem, kas tiek izmantoti, lai mazinātu Evil Maid uzbrukumus, vajadzētu būt spēkā arī Cold Boot uzbrukumiem ar dažiem papildu pasākumiem:


  • Ja operētājsistēma vai šifrēšanas programmatūra to atļauj, jāapsver iespēja šifrēt atslēgas arī operatīvajā atmiņā (tas ir iespējams ar Windows/Veracrypt, un tas tiks paskaidrots vēlāk).
  • Lai novērstu šifrēšanas atslēgu palikšanu operatīvajā atmiņā, kad dators ir ieslēgts miega režīmā, jums vajadzētu ierobežot miega gaidīšanas režīma izmantošanu un tā vietā izmantot izslēgšanas vai hibernācijas režīmu. Tas ir tāpēc, ka miega režīms saglabās atmiņas jaudu, lai ātrāk atsāktu darbību. Tikai hibernācija un izslēgšana faktiski izdzēsīs atslēgu no atmiņas.

Skatīt arī https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] un https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Šeit ir arī daži interesanti rīki, kas jāņem vērā Linux lietotājiem, lai pret tiem aizsargātos:



Par miega režīmu, hibernāciju un izslēgšanu.


Ja vēlaties lielāku drošību, jums vajadzētu pilnībā izslēgt klēpjdatoru ikreiz, kad atstājat to bez uzraudzības vai aizverat vāku. Tas attīrīs un/vai atbrīvos operatīvo atmiņu un nodrošinās aizsardzību pret aukstās palaišanas uzbrukumiem. Tomēr tas var būt mazliet neērti, jo būs pilnībā jāpārstartē sistēma un jāievada tonna paroļu dažādās lietotnēs. Pārstartējiet dažādus virtuālos datorus un citas lietojumprogrammas. Tāpēc tā vietā varat izmantot arī hibernāciju (Qubes OS netiek atbalstīta). Tā kā viss disks ir šifrēts, hibernācijai pašai par sevi nevajadzētu radīt lielu drošības risku, bet tā tomēr izslēgs klēpjdatoru un iztīrīs atmiņu, vienlaikus ļaujot pēc tam ērti atsākt darbu. Nekādā gadījumā nevajadzētu izmantot standarta miega funkciju, kas uzturēs datoru ieslēgtu un atmiņu darbināmu. Tas ir uzbrukuma vektors pret iepriekš aplūkotajiem ļaunās kalpones un aukstās palaišanas uzbrukumiem. Tas ir tāpēc, ka jūsu ieslēgtajā atmiņā ir diska šifrēšanas atslēgas (šifrētas vai nešifrētas), un tad tām var piekļūt prasmīgs pretinieks.


Šajā rokasgrāmatā vēlāk tiks sniegti norādījumi par to, kā iespējot hibernāciju dažādās resursdatora operētājsistēmās (izņemot Qubes OS), ja nevēlaties, lai katru reizi tiktu izslēgta.


Vietējā datu noplūde (pēdas) un kriminālistikas pārbaude.


Kā īsumā minēts iepriekš, tās ir datu noplūdes un pēdas no operētājsistēmas un lietojumprogrammām, kad datorā veicat kādu darbību. Tās galvenokārt attiecas uz šifrētiem failu konteineriem (ar vai bez ticamas noliegšanas iespējas), nevis uz operētājsistēmas mēroga šifrēšanu. Šādas noplūdes ir mazāk "svarīgas", ja ir šifrēta visa jūsu OS (ja neesat spiests atklāt paroli).


Teiksim, piemēram, jums ir Veracrypt šifrēta USB atslēga ar iespējamu noliegšanas iespēju. Atkarībā no paroles, ko izmantojat, pievienojot USB atslēgu, tā atvērs viltus mapi vai slepeno mapi. Šajās mapēs jums būs dokumenti/dati, kas ir atmaskošanas mapē, un slepenie dokumenti/dati, kas ir slepenajā mapē.


Visos gadījumos jūs (visticamāk) atvērsiet šīs mapes ar Windows Explorer, MacOS Finder vai jebkuru citu utilītu un darīsiet visu, ko esat iecerējis darīt. Varbūt jūs rediģēsiet dokumentu sensitīvajā mapē. Varbūt jūs meklēsiet dokumentu mapē. Varbūt dzēsīsit kādu no jutīgajām mapēm vai skatīsieties sensitīvu videoklipu, izmantojot VLC.


Visas šīs programmas un operētājsistēma var saglabāt žurnālus un pēdas par šo izmantošanu. Tas varētu ietvert pilnu mapes/failu/disku ceļu, laiku, kad tiem tika piekļūts, šo failu pagaidu kešatmiņas, "neseno" sarakstu katrā lietotnē, failu indeksēšanas sistēmu, kas varētu indeksēt disku, un pat miniatūras, kas varētu tikt ģenerētas.


Šeit ir daži šādu noplūžu piemēri:


Windows.


  • Windows ShellBags, kas tiek glabāti Windows reģistrā, kurā tiek klusējot uzglabātas dažādas piekļūto apjomu/failu/mapju vēstures.
  • Windows indeksēšana, kas pēc noklusējuma saglabā lietotāja mapē esošo failu pēdas.
  • Nesenie saraksti (pazīstami arī kā lēciena saraksti) Windows un dažādās lietotnēs, kas saglabā nesen piekļūto dokumentu pēdas.
  • Vēl daudz citu pēdu dažādos žurnālos, lūdzu, skatiet šo ērto interesanto plakātu, lai gūtu plašāku ieskatu: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].

MacOS.


  • Gatekeeper290 un XProtect, kas saglabā jūsu lejupielādes vēsturi vietējā datubāzē un failu atribūtus.
  • Spotlight indeksēšana
  • Pēdējo dokumentu saraksti dažādās lietotnēs, kas saglabā pēdas nesen piekļūto dokumentu izsekojumiem.
  • Pagaidu mapes, kurās tiek saglabātas dažādas lietotņu un dokumentu izmantošanas pēdas.
  • MacOS žurnāli
  • ...

Linux.


  • Linux Linux: Sliežu indeksēšana
  • Bash vēsture
  • USB žurnāli
  • Pēdējo dokumentu saraksti dažādās lietotnēs, kas saglabā pēdas par nesen piekļūstamajiem dokumentiem.
  • Linux žurnāli
  • ...

Kriminālistikas eksperti varētu izmantot visas šīs noplūdes (skatiet Vietējo datu noplūdes un kriminālistiku), lai pierādītu slēpto datu esamību un sagrautu jūsu mēģinājumus izmantot ticamu noliegumu un uzzināt par dažādām sensitīvām darbībām.


Tāpēc būs svarīgi piemērot dažādus pasākumus, lai nepieļautu, ka kriminālistikas speciālisti to dara, novēršot un attīrot šīs noplūdes/izsekojumus un, vēl svarīgāk, izmantojot visa diska šifrēšanu, virtualizāciju un kompartmentalizāciju.


Kriminālistikas eksperti nevar iegūt lokālo datu noplūdes no operētājsistēmas, kurai tie nevar piekļūt. Un jūs varēsiet notīrīt lielāko daļu šo pēdu, izdzēšot disku vai droši dzēšot savas virtuālās mašīnas (kas nav tik vienkārši, kā jums šķiet, SSD diskiem).


Daži tīrīšanas paņēmieni tomēr tiks aplūkoti šīs rokasgrāmatas daļā "Noslēpt pēdas" pašā tās beigās.


Datu noplūde tiešsaistē.


Neatkarīgi no tā, vai izmantojat vienkāršu šifrēšanu vai ticamas noliegšanas iespēju šifrēšanu. Pat tad, ja esat noslēpis savas pēdas pašā datorā. Joprojām pastāv tiešsaistes datu noplūdes risks, kas var atklāt slēpto datu klātbūtni.


Telemetrija ir jūsu ienaidnieks. Kā paskaidrots iepriekš šajā rokasgrāmatā, operētājsistēmu, kā arī lietotņu telemetrija var tiešsaistē nosūtīt satriecošus privātās informācijas apjomus.


Windows gadījumā šos datus varētu izmantot, piemēram, lai pierādītu, ka datorā ir slēpta operētājsistēma / sējums, un tie būtu viegli pieejami Microsoft. Tāpēc ir ārkārtīgi svarīgi ar visiem pieejamajiem līdzekļiem atspējot un bloķējot telemetriju. Neatkarīgi no tā, kādu operētājsistēmu izmantojat.


Secinājums.


Nekādā gadījumā nedrīkst veikt sensitīvas darbības no nešifrētas sistēmas. Un, pat ja tā ir šifrēta, iespējams, nekad nevajadzētu veikt sensitīvas darbības no pašas resursdatora OS. Tā vietā jāizmanto virtuālā mašīna, lai varētu efektīvi izolēt un nodalīt darbības un novērst vietējo datu noplūdi.


Ja jums ir nelielas zināšanas par Linux vai to nemaz nav, vai ja vēlaties izmantot OS plašu ticamu noliegšanu, es ieteiktu ērtības labad izvēlēties Windows (vai atgriezties pie Tails maršruta). Šī rokasgrāmata palīdzēs jums to pēc iespējas vairāk nostiprināt, lai novērstu noplūdes. Šī rokasgrāmata palīdzēs arī pēc iespējas vairāk nostiprināt MacOS un Linux, lai novērstu līdzīgas noplūdes.


Ja jūs neinteresē OS plaša ticama noliegšana un vēlaties iemācīties izmantot Linux, es noteikti ieteiktu izvēlēties Linux vai Qubes ceļu, ja jūsu aparatūra to atļauj.


Jebkurā gadījumā uzņēmēja OS nekad nevajadzētu izmantot, lai tieši veiktu sensitīvas darbības. Uzņēmēja OS tiks izmantota tikai savienošanai ar publisku Wi-Fi piekļuves punktu. Kamēr veicat sensitīvas darbības, tā tiks atstāta neizmantota, un ideālā gadījumā to nevajadzētu izmantot nekādām ikdienas darbībām.


Apsveriet arī iespēju izlasīt https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Linux resursdatora operētājsistēma.


Kā minēts iepriekš, es neiesaku izmantot ikdienas klēpjdatoru ļoti jutīgām darbībām. Vai vismaz es neiesaku tām izmantot jūsu lokālo operētājsistēmu. Šāda rīcība var izraisīt nevēlamu datu noplūdi, ko varētu izmantot, lai jūs deanonimizētu. Ja jums ir šim nolūkam paredzēts klēpjdators, jums vajadzētu pārinstalēt svaigu, tīru OS. Ja nevēlaties izdzēst klēpjdatoru un sākt no jauna, jums vajadzētu apsvērt Tails maršrutu vai rīkoties uz savu risku.


Es arī iesaku veikt sākotnējo instalēšanu pilnībā bezsaistē, lai izvairītos no jebkādas datu noplūdes.


Jums vienmēr jāatceras, ka, neraugoties uz reputāciju, Linux izplatītākajām izplatnēm (piemēram, Ubuntu) ne vienmēr ir labāka drošība nekā citām sistēmām, piemēram, MacOS un Windows. Lai saprastu, kāpēc, skatiet šo atsauci https://madaidans-insecurities.github.io/linux.html [Archive.org].


Pilna diska šifrēšana.


Ubuntu ir divas iespējas:



Attiecībā uz citām izplatītājplatībām jums būs jādokumentē pašiem, bet tas, visticamāk, būs līdzīgi. Šifrēšana instalēšanas laikā ir tikai daudz vienkāršāka šīs rokasgrāmatas kontekstā.


Noraidīt/izslēgt jebkādu telemetriju.


  • Instalēšanas laikā vienkārši pārliecinieties, ka neesat atļāvuši datu vākšanu, ja tiek pieprasīts to darīt.
  • Ja neesat pārliecināts, vienkārši pārliecinieties, ka neesat iespējojis telemetriju, un vajadzības gadījumā sekojiet šai pamācībai https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org].
  • Jebkura cita izplatītāja: Jums būs pašam jādokumentē un jānoskaidro, kā atspējot telemetriju, ja tāda ir.

Izslēdziet visu nevajadzīgo.



Hibernācija.


Lai mazinātu ļaunās kalpones un aukstās palaišanas uzbrukumus, jums nevajadzētu izmantot miega funkcijas, bet gan izslēgt vai hibernēt klēpjdatoru, kā paskaidrots iepriekš. Diemžēl šī funkcija ir atspējota pēc noklusējuma daudzās Linux distro, tostarp Ubuntu. To ir iespējams aktivizēt, taču tā var nedarboties, kā paredzēts. Izmantojiet šo informāciju uz savu risku. Ja nevēlaties to darīt, nekad neizmantojiet miega funkciju un tās vietā lietojiet izslēgšanas funkciju (un, iespējams, iestatiet vāka aizvēršanas uzvedību uz izslēgšanu, nevis miega funkciju).


Lai iespējotu Hibernate, sekojiet kādai no šīm pamācībām:



Pēc tam, kad Hibernate ir iespējota, mainiet uzvedību tā, lai jūsu klēpjdators hibernētos, kad aizverat vāku, sekojot šai pamācībai Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] un šai pamācībai Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org].


Diemžēl tas neiztīrīs atslēgu no atmiņas tieši no atmiņas hibernēšanas laikā. Lai no tā izvairītos uz veiktspējas rēķina, varat apsvērt iespēju šifrēt mijmaiņas failu, sekojot šai pamācībai: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org].


Šiem iestatījumiem vajadzētu mazināt aukstās palaišanas uzbrukumus, ja varat pietiekami ātri hibernēt.


Ieslēdziet MAC adrešu randomizāciju.



Linux nostiprināšana.


Kā vieglu ievadu jauniem Linux lietotājiem, apsveriet šādu informāciju.
[Invidious]


Lai iegūtu padziļinātākas un padziļinātas iespējas, skatiet:



Drošas pārlūkprogrammas iestatīšana.


Skatīt G pielikumu: Drošs pārlūks galvenajā operētājsistēmā.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

MacOS resursdatora operētājsistēma.


Šobrīd šī rokasgrāmata (pagaidām) neatbalsta ARM M1 MacBooks. Sakarā ar to, ka Virtualbox vēl neatbalsta šo arhitektūru. Tomēr tas varētu būt iespējams, ja izmantojat komerciālus rīkus, piemēram, VMWare vai Parallels, taču tie šajā rokasgrāmatā nav aplūkoti.


Kā minēts iepriekš, es neiesaku izmantot ikdienas klēpjdatoru ļoti jutīgām darbībām. Vai vismaz es neiesaku tām izmantot savu vietējo operētājsistēmu. Šāda rīcība var izraisīt nevēlamu datu noplūdi, ko varētu izmantot, lai jūs deanonimizētu. Ja jums ir šim nolūkam paredzēts klēpjdators, jums vajadzētu pārinstalēt svaigu, tīru OS. Ja nevēlaties izdzēst klēpjdatoru un sākt no jauna, jums vajadzētu apsvērt Tails maršrutu vai rīkoties uz savu risku.


Es arī iesaku veikt sākotnējo instalēšanu pilnībā bezsaistē, lai izvairītos no jebkādas datu noplūdes.


Nekad nepierakstieties savā Apple kontā, izmantojot šo Mac.


Instalēšanas laikā.


  • Palieciet bezsaistē
  • Izslēdziet visus datu koplietošanas pieprasījumus, kad tiek pieprasīts, tostarp atrašanās vietas pakalpojumus.
  • Nepiesakieties, izmantojot Apple
  • Neaktivizējiet Siri

MacOS nostiprināšana.


Kā vieglu ievadu jauniem MacOS lietotājiem apsveriet iespēju
[Invidious]


Tagad, lai padziļināti nodrošinātu un nostiprinātu MacOS, iesaku izlasīt šo GitHub rokasgrāmatu, kurā būtu jāaptver daudzi jautājumi: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].


Šeit ir izklāstīti pamatpasākumi, kas jums jāveic pēc instalēšanas bezsaistē:


Iespējot programmaparatūras paroli ar opciju "disable-reset-capability".


Vispirms iestatiet programmaparatūras paroli, sekojot šai Apple rokasgrāmatai: https: //support.apple.com/en-us/HT204455 [Archive.org].


Diemžēl daži uzbrukumi joprojām ir iespējami, un pretinieks var atspējot šo paroli, tāpēc jums arī jāievēro šī rokasgrāmata, lai novērstu programmaparatūras paroles atspējošanu no jebkura, tostarp Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].


Aktivizējiet Hibernāciju miega režīma vietā.


Tas atkal ir paredzēts, lai novērstu dažus aukstās palaišanas un ļaunās kalpones uzbrukumus, izslēdzot operatīvo atmiņu un notīrot šifrēšanas atslēgu, kad aizverat vāku. Vienmēr vajadzētu vai nu hibernēt, vai izslēgt. MacOS operētājsistēmā hibernēšanas funkcijai ir pat īpaša opcija, kas īpaši attīra šifrēšanas atslēgu no atmiņas, kad notiek hibernēšana (savukārt citās operētājsistēmās var nākties gaidīt, kamēr atmiņa samazinās). Arī šajā gadījumā iestatījumos nav vienkāršu iespēju to izdarīt, tāpēc tā vietā mums tas būs jādara, izpildot dažas komandas, lai iespējotu hibernāciju:


  • Atveriet termināli
  • Palaidiet: sudo pmset -a destroyfvkeyonstandby 1
    • Šī komanda liks MacOS iznīcināt Filevault atslēgu gaidīšanas režīmā (miega režīms).
  • Palaist: sudo pmset -a hibernatemode 25
    • Šī komanda uzdos MacOS izslēgt atmiņu miega režīmā, nevis veikt hibrīda hibernācijas režīmu, kas uztur atmiņu ieslēgtu. Tā rezultātā pamošanās būs lēnāka, bet palielināsies akumulatora darbības laiks.

Tagad, aizverot MacBook vāku, tā vietā miega režīmā notiks hibernācija, kas mazinās mēģinājumus veikt aukstās palaišanas uzbrukumus.


Turklāt iestatiet automātisko miega režīmu (Iestatījumi > Enerģija), lai MacBook automātiski hibernētos, ja to atstāj bez uzraudzības.


Izslēdziet nevajadzīgos pakalpojumus.


Izslēdziet dažus nevajadzīgus iestatījumus iestatījumos:


  • Izslēgt Bluetooth
  • Izslēgt kameru un mikrofonu
  • Izslēgt atrašanās vietas pakalpojumus
  • Izslēgt Airdrop
  • Atslēgt indeksēšanu

Novērst Apple OCSP zvanus.


Tas ir bēdīgi slavenais "atbloķējamais telemetrijas" izsaukums no MacOS Big Sur, kas atklāts šeit: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


OCSP ziņojumus var bloķēt, Terminal izdodot šādu komandu:


  • Sudo sh -c 'echo "127.0.0.0.1 ocsp.apple.com" >> /etc/hosts'.

Bet, iespējams, jums vajadzētu pašiem dokumentēt faktisko problēmu, pirms rīkoties. Šī lapa ir laba vieta, kur sākt: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Patiesībā tas ir atkarīgs no jums. Es to bloķētu, jo nevēlos, lai no manas operētājsistēmas uz mātessabiedrību bez manas īpašas piekrišanas tiktu veikta jebkāda telemetrija. Nav.


Ieslodzīt pilna diska šifrēšanu (Filevault).


Saskaņā ar šo rokasgrāmatas daļu Mac datorā vajadzētu iespējot pilna diska šifrēšanu, izmantojot Filevault: https: //github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org].


Esiet uzmanīgi, kad to atļaujat. Nesaglabājiet Apple atkopšanas atslēgu, ja tiek pieprasīts (nevajadzētu būt problēmai, jo šajā posmā jums vajadzētu būt bezsaistes režīmā). Acīmredzot nevēlaties, lai jūsu atkopšanas atslēga būtu trešās personas rīcībā.


MAC adrešu randomizācija.


Diemžēl MacOS nepiedāvā ērtu MAC adreses randomizēšanas veidu, tāpēc jums tas būs jāveic manuāli. Tas tiks atiestatīts pēc katras atkārtotas palaišanas, un jums tas būs jādara katru reizi no jauna, lai nodrošinātu, ka, pieslēdzoties dažādiem Wi-Fis, neizmantojat savu faktisko MAC adresi.


To var izdarīt, terminālī izdodot šādas komandas (bez iekavām):


  • (Izslēdziet Wi-Fi) networksetup -setairportpower en0 off (Izslēdziet Wi-Fi)
  • (Mainīt MAC adresi) sudo ifconfig en0 ether 88:63:63:11:11:11:11:11:11
  • (Atkal ieslēdziet Wi-Fi) networksetup -setairportpower en0 on

Drošas pārlūkprogrammas iestatīšana.


Skatīt G pielikumu: Drošs pārlūks galvenajā operētājsistēmā.


Windows uzņēmēja OS.


Kā minēts iepriekš, es neiesaku izmantot ikdienas klēpjdatoru ļoti sensitīvām darbībām. Vai vismaz es neiesaku tām izmantot savu vietējo operētājsistēmu. Šāda rīcība var izraisīt nevēlamu datu noplūdi, ko varētu izmantot, lai jūs deanonimizētu. Ja jums ir šim nolūkam paredzēts klēpjdators, jums vajadzētu pārinstalēt svaigu, tīru OS. Ja nevēlaties izdzēst klēpjdatoru un sākt no jauna, jums vajadzētu apsvērt Tails maršrutu vai rīkoties uz savu risku.


Es arī iesaku veikt sākotnējo instalēšanu pilnībā bezsaistē, lai izvairītos no jebkādas datu noplūdes.


Instalēšana.


Jums jāievēro A pielikums: Windows instalēšana


Kā vieglu ievadu apsveriet iespēju noskatīties
[Invidious]


Iespējot MAC adrešu randomizāciju.


Jums vajadzētu randomizēt MAC adresi, kā paskaidrots iepriekš šajā rokasgrāmatā:


Iet uz Iestatījumi > Tīkls un internets > Wi-Fi > Ieslēgt nejaušas aparatūras adreses.


Kā alternatīvu varat izmantot šo bezmaksas programmatūru: https: //technitium.com/tmac/ [Archive.org].


Drošas pārlūkprogrammas iestatīšana.


Skatīt G pielikumu: Drošs pārlūks galvenajā operētājsistēmā.


Atļaujiet dažus papildu konfidencialitātes iestatījumus savā galvenajā operētājsistēmā.


Skatīt B pielikumu: Windows papildu privātuma iestatījumi


Windows host OS šifrēšana.


Ja plānojat izmantot sistēmas mēroga ticamu noliegšanu.


Veracrypt ir programmatūra, ko es ieteiktu pilnīgai diska šifrēšanai, failu šifrēšanai un ticamai noliegšanai. Tā ir labi zināmās, bet novecojušās un neuzturētās programmas TrueCrypt atvasinājums. To var izmantot


  • Pilna diska vienkārša šifrēšana (cietais disks tiek šifrēts ar vienu paroli).
  • Pilna diska šifrēšanai ar ticamu noliegšanu (tas nozīmē, ka atkarībā no ielādes laikā ievadītās paroles frāzes tiks ielādēta vai nu viltus OS, vai slēpta OS).
  • Failu konteinera vienkārša šifrēšana (tas ir liels fails, kuru varēsiet pievienot Veracrypt sistēmā, it kā tas būtu ārējais disks, lai tajā uzglabātu šifrētus failus).
  • Failu konteiners ar ticamu noliegšanu (tas ir tas pats lielais fails, bet atkarībā no paroles, ko izmantojat, to pievienojot, jūs pievienosiet vai nu "slēpto sējumu", vai "viltus sējumu").

Cik man zināms, tā ir vienīgā (ērta un ikvienam lietojama) bezmaksas, atklātā pirmkoda un atklāti auditēta šifrēšanas programmatūra, kas nodrošina arī ticamu noliegšanu vispārējai lietošanai, un tā darbojas ar Windows Home Edition.


Lejuplādējiet un instalējiet Veracrypt no: https://www.veracrypt.fr/en/Downloads.html [Archive.org].


Pēc instalēšanas veltiet brīdi, lai pārskatītu turpmāk minētās iespējas, kas palīdzēs mazināt dažus uzbrukumus:


  • Šifrējiet atmiņu, izmantojot Veracrypt opciju (iestatījumi > veiktspējas/ draivera opcijas > šifrēt RAM), maksājot 5-15% veiktspējas. Šis iestatījums arī atslēgs hibernāciju (kas aktīvi neiztīra atslēgu hibernācijas laikā) un tā vietā pilnībā šifrēs atmiņu, lai mazinātu dažus aukstās palaišanas uzbrukumus.
  • Ieslēdziet opciju Veracrypt, lai dzēstu atslēgas no atmiņas, ja tiek ievietota jauna ierīce (sistēma > iestatījumi > drošība > dzēst atslēgas no atmiņas, ja tiek ievietota jauna ierīce). Tas varētu palīdzēt gadījumā, ja sistēma tiek sagrābta, kamēr tā joprojām ir ieslēgta (bet bloķēta).
  • Ieslēdziet Veracrypt opciju, lai savienotu sējumus kā noņemamus sējumus (Iestatījumi > Preferences > Mount volume as removable media). Tas neļaus operētājsistēmai Windows ierakstīt dažus žurnālus par jūsu pievienošanu notikumu žurnālos un novērsīs dažu vietējo datu noplūdi.
  • Esiet uzmanīgi un labi pārziniet situāciju, ja jūtat kaut ko dīvainu. Pēc iespējas ātrāk izslēdziet klēpjdatoru.
  • Lai gan Veracrypt jaunākās versijas atbalsta Secure Boot, es ieteiktu to atspējot BIOS, jo es dodu priekšroku Veracrypt Anti-Evil Maid sistēmai, nevis Secure Boot.

Ja nevēlaties izmantot šifrēto atmiņu (jo veiktspēja varētu būt problēma), jums vajadzētu vismaz ieslēgt hibernāciju miega režīma vietā. Tas neiztīrīs atslēgas no atmiņas (jūs joprojām būsiet neaizsargāts pret aukstās palaišanas uzbrukumiem), bet vismaz vajadzētu tos nedaudz mazināt, ja jūsu atmiņai ir pietiekami daudz laika, lai sabojātos.


Sīkāka informācija vēlāk A un B maršrutā: Vienkārša šifrēšana, izmantojot Veracrypt (Windows pamācība).


Ja neplānojat izmantot sistēmas mēroga ticamu noliegšanu.


Šajā gadījumā pilnīgai diska šifrēšanai es ieteiktu izmantot BitLocker, nevis Veracrypt. Pamatojums ir tāds, ka BitLocker atšķirībā no Veracrypt nepiedāvā ticamas noliegšanas iespēju. Sarežģītam pretiniekam tad nav motivācijas turpināt savu "pastiprināto" iztaujāšanu, ja atklājat piekļuves frāzi.


Parasti šajā gadījumā jums vajadzētu būt instalētam Windows Pro, un BitLocker iestatīšana ir diezgan vienkārša.


Būtībā jūs varat sekot norādījumiem šeit: https: //support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org].


Bet šeit ir aprakstīti šādi soļi:


  • Noklikšķiniet uz Windows izvēlnes
  • Ierakstiet "Bitlocker".
  • Noklikšķiniet uz "Pārvaldīt Bitlocker"
  • Noklikšķiniet uz "Ieslēgt Bitlocker" savā sistēmas diskā
  • Izpildiet norādījumus
    • Nesaglabājiet atkopšanas atslēgu Microsoft kontā, ja tiek pieprasīts.
    • Atjaunošanas atslēgu saglabājiet tikai ārējā šifrētā diskā. Lai to apietu, izdrukājiet atkopšanas atslēgu, izmantojot Microsoft Print to PDF printeri, un saglabājiet atslēgu mapē Dokumenti.
    • Šifrējiet visu disku (nešifrējiet tikai izmantoto diska vietu).
    • Izmantojiet "Jauno šifrēšanas režīmu".
    • Palaidiet BitLocker pārbaudi
    • Pārstartējiet
  • Šifrēšanai tagad vajadzētu ne sākties fonā (to var pārbaudīt, noklikšķinot uz Bitlocker ikonas uzdevumu joslas apakšējā labajā pusē).

Iespējot hibernāciju (pēc izvēles).


Atkal, kā paskaidrots iepriekš. Nekad nevajadzētu izmantot miega funkciju, lai mazinātu dažus aukstās palaišanas un ļaunprātīgās kalpones uzbrukumus. Tā vietā vajadzētu izslēgt vai hibernēt. Tāpēc, aizverot vāku vai klēpjdatoram pārejot miega režīmā, klēpjdators jāpārslēdz miega režīmā uz hibernēšanu.


(Ņemiet vērā, ka hibernāciju nevar ieslēgt, ja iepriekš Veracrypt programmā esat ieslēguši RAM šifrēšanu).


Iemesls ir tāds, ka hibernācija faktiski pilnībā izslēgs klēpjdatoru un iztīrīs atmiņu. Savukārt miega režīms atstās atmiņu ieslēgtu (ieskaitot jūsu atšifrēšanas atslēgu) un var padarīt jūsu klēpjdatoru neaizsargātu pret aukstās palaišanas uzbrukumiem.


Pēc noklusējuma Windows 10 var nepiedāvāt šo iespēju, tāpēc jums vajadzētu to iespējot, sekojot šai Microsoft pamācībai: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org].


  • Atveriet administratora komandu uzvedni (ar peles labo pogu noklikšķiniet uz Command Prompt un "Run as Administrator" (Palaist kā administrators)).
  • Palaidiet: powercfg.exe /hibernate on
  • Tagad palaidiet papildu komandu: **powercfg /h /type full** (**powercfg /h /type full**).
    • Šī komanda pārliecināsies, ka jūsu hibernācijas režīms ir pilns, un pilnībā iztīrīs atmiņu (ne droši).

Pēc tam jums vajadzētu doties uz barošanas iestatījumiem:


  • Atveriet vadības paneli
  • Atveriet Sistēma un drošība
  • Atveriet Jaudas opcijas
  • Atveriet "Izvēlieties, ko dara barošanas poga".
  • Mainiet visu no miega režīma uz hibernācijas režīmu vai izslēgšanu
  • Atgriezieties atpakaļ pie barošanas opcijām
  • Izvēlieties Mainīt plāna iestatījumus
  • Izvēlieties Paplašinātie barošanas iestatījumi
  • Mainiet visas miega režīma vērtības katram barošanas plānam uz 0 (nekad).
  • Pārliecinieties, ka katram barošanas plānam hibrīda miega režīms ir izslēgts.
  • Ieslodzes režīma ieslēgšana pēc vēlamā laika.
  • Izslēdziet visus modināšanas taimerus

Izlemiet, kuru apakšmaršrutu izmantosiet.


Tagad jums būs jāizvēlas nākamais solis starp divām iespējām:


  • A maršruts: Vienkārša pašreizējās OS šifrēšana
    • Priekšrocības:
      • Neprasa notīrīt klēpjdatoru
      • Nav problēmu ar vietējo datu noplūdi
      • Darbojas labi ar SSD disku
      • Darbojas ar jebkuru operētājsistēmu
      • Vienkāršs
    • Mīnusi:
      • Jums var nākties atklāt savu paroli un visus savus noslēpumus, un jums nebūs ticamas iespējas to noliegt.
      • Tiešsaistes datu noplūdes draudi
  • B maršruts: vienkārša jūsu pašreizējās operētājsistēmas šifrēšana, vēlāk izmantojot ticamu noliegšanas iespēju attiecībā uz pašiem failiem:
    • Priekšrocības:
      • Neprasa izdzēst klēpjdatoru.
      • darbojas labi ar SSD disku
      • Darbojas ar jebkuru operētājsistēmu
      • Iespējama ticama noliegšana ar "maigiem" pretiniekiem
    • Mīnusi:
      • Tiešsaistes datu noplūdes risks
      • Vietējo datu noplūdes risks (kas radīs vairāk darba, lai šos noplūdes gadījumus iztīrītu).
  • Maršruts C: ticama noliegšanas iespēja Operētājsistēmas šifrēšana (klēpjdatorā darbosies "slēptā OS" un "viltus OS"):
    • Plusi:
      • Nav problēmu ar vietējo datu noplūdi
      • Iespējama ticama noliegšana ar "maigiem" pretiniekiem.
    • Mīnusi:
      • Nepieciešama operētājsistēma Windows (Linux šī funkcija nav "viegli" atbalstīta).
      • Datu noplūdes tiešsaistē draudi
      • Nepieciešams pilnībā izdzēst klēpjdatoru
      • Nav iespējams izmantot ar SSD disku, jo ir nepieciešams atslēgt Trim operācijas. Tas laika gaitā ievērojami pasliktinās jūsu SSD diska veiktspēju/veselību.

Kā redzat, C maršruts piedāvā tikai divas privātuma priekšrocības salīdzinājumā ar citiem, un tas būs noderīgs tikai pret maigu likumīgu pretinieku. Atcerieties https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Izvēle par to, kuru ceļu izvēlēsieties, ir jūsu ziņā. A maršruts ir minimālais.


Vienmēr pārliecinieties, ka bieži pārbaudiet jaunas Veracrypt versijas, lai nodrošinātu, ka jūs izmantojat jaunākos labojumus. Īpaši pārbaudiet to pirms lielo Windows atjauninājumu piemērošanas, kas var sabojāt Veracrypt bootloader un ieslēgt boot cilpu.


PIEVĒRTĪT, KA VERACRYPT pēc noklusējuma vienmēr piedāvās SISTĒMAS PARASES PARAKSTU KVARTĀ (parādīs paroli kā testu). Tas var radīt problēmas, ja bootēšanas ievadei izmantojat klēpjdatora tastatūru (piemēram, AZERTY), jo paroli būsiet iestatījis QWERTY un bootēšanas laikā to ievadīsiet AZERTY. Tāpēc, veicot testa palaišanu, pārbaudiet, kādu tastatūras izkārtojumu izmanto jūsu BIOS. Jums var neizdoties pieteikties tikai tāpēc, ka ir sajauktas QWERTY/AZERTY tastatūras. Ja jūsu BIOS bootē, izmantojot AZERTY, Veracrypt programmā parole būs jāievada QWERTY.



A un B maršruts: vienkārša šifrēšana, izmantojot Veracrypt (Windows pamācība)


Šo soli izlaidiet, ja iepriekš tā vietā izmantojāt BitLocker.


Lai izmantotu šo metodi, jums nav nepieciešams cietais disks, un šajā maršrutā nav nepieciešams atspējot Trim. Trim noplūdes būs noderīgas tikai kriminālistikas ekspertiem, lai noteiktu slēptā sējuma klātbūtni, bet citādi tās nebūs īpaši noderīgas.


Šis ceļš ir diezgan vienkāršs, un tas vienkārši šifrēs pašreizējo operētājsistēmu, nezaudējot nekādus datus. Noteikti izlasiet visus tekstus, ko Veracrypt jums rāda, lai pilnībā izprastu, kas notiek.


  • Palaidiet VeraCrypt
  • Iet uz Iestatījumi:
    • Iestatījumi > Veiktspējas/rīkotāja opcijas > Šifrēt RAM
    • Sistēma > Iestatījumi > Drošība > Izdzēst atslēgas no atmiņas, ja tiek ievietota jauna ierīce
    • Sistēma > Iestatījumi > Windows > Ieslēgt drošu darbvirsmu
  • Izvēlieties Sistēma
  • Atlasiet Šifrēt sistēmas nodalījumu/disku
  • Izvēlieties Normāla (vienkārša)
  • Izvēlieties Single-Boot
  • Atlasiet AES kā šifrēšanas algoritmu (noklikšķiniet uz testēšanas pogas, ja vēlaties salīdzināt ātrumu).
  • Izvēlieties SHA-512 kā šifrēšanas algoritmu (jo kāpēc ne).
  • Ievadiet spēcīgu paroli (jo garāku, jo labāk, atcerieties A2 pielikumu: Paroļu un paroļu frāžu vadlīnijas).
  • Apkopojiet entropiju, nejauši pārvietojot kursoru, līdz josla ir pilna.
  • Noklikšķiniet uz Tālāk, jo parādās ekrāns Generated Keys (ģenerētās atslēgas)
  • Glābt vai neglābt disku, tas ir jūsu ziņā. Es iesaku izveidot vienu (uz visiem gadījumiem), tikai pārliecinieties, ka tas tiek glabāts ārpus šifrētā diska (piemēram, USB atslēga, vai arī pagaidiet un skatiet šīs rokasgrāmatas beigās norādījumus par drošām dublējuma kopijām). Šajā glābšanas diskā netiks saglabāta jūsu piekļuves frāze, un jums tā joprojām būs nepieciešama, lai to izmantotu.
  • Tīrīšanas režīms:
    • Ja šajā klēpjdatorā vēl nav sensitīvu datu, izvēlieties None (nav).
    • Ja SSD diskā ir sensitīvi dati, Trim vien vajadzētu parūpēties par tiem, bet es ieteiktu 1 izbraukšanu (izlases dati), lai būtu pārliecināts.
    • Ja cietajā diskā ir sensitīvi dati, Trim nav pieejams, un es ieteiktu veikt vismaz 1 pāreju.
  • Pārbaudiet savu iestatījumu. Veracrypt tagad pārstartēs jūsu sistēmu, lai pirms šifrēšanas pārbaudītu sākumiekrāvēju. Šim testam ir jāiztur, lai šifrēšana tiktu turpināta.
  • Pēc datora pārstartēšanas un testa izturēšanas. Veracrypt parādīsies Veracrypt uzaicinājums sākt šifrēšanas procesu.
  • Sāciet šifrēšanu un pagaidiet, līdz tā tiks pabeigta.
  • Jūs esat pabeidzis, izlaidiet B maršrutu un veiciet nākamos soļus.

Būs vēl viena sadaļa par šifrētu failu konteineru izveidi ar ticamu noliegumu Windows operētājsistēmā.


B maršruts: ticamas noliegšanas iespējas šifrēšana ar slēptu operētājsistēmu (tikai Windows)


Šī opcija tiek atbalstīta tikai operētājsistēmā Windows.


To ieteicams izmantot tikai cietā diska diskā. Tas nav ieteicams SSD diskā.


Jūsu slēptajai OS nevajadzētu būt aktivizētai (ar MS produkta atslēgu). Tāpēc šajā maršrutā tiks ieteikta un vadīta pilnīga tīra instalēšana, kas izdzēsīs visu klēpjdatorā esošo informāciju.



Izlasiet Veracrypt dokumentāciju https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Slēptās operētājsistēmas daļas izveides process) un https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Drošības prasības un piesardzības pasākumi attiecībā uz slēptajiem sējumiem).


Lūk, kā jūsu sistēma izskatīsies pēc šī procesa pabeigšanas:
2021 08 05 08 01


(Ilustrācija no Veracrypt dokumentācijas, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]).


Kā redzat, šim procesam ir nepieciešami divi cietā diska nodalījumi jau no paša sākuma.


Šis process veic šādas darbības:


  • Šifrēs jūsu otro nodalījumu (ārējo sējumu), kas izskatīsies kā tukšs neformatēts disks no viltus operētājsistēmas.
  • Piedāvās jums iespēju ārējā sējumā nokopēt kādu mānekļa saturu.
    • Šeit jūs nokopēsiet savu animācijas/pornofilmu kolekciju no kāda ārējā cietā diska uz ārējo sējumu.
  • Izveidojiet slēpto sējumu otrā nodalījuma ārējā sējumā. Šeit atradīsies slēptā operētājsistēma.
  • Klonējiet pašlaik darbojošos Windows 10 instalāciju slēptajā sējumā.
  • Notīriet pašlaik darbojošos Windows 10 instalāciju.
  • Tas nozīmē, ka jūsu pašreizējā Windows 10 kļūs par slēpto Windows 10 un ka jums būs jāpārinstalē jauna Windows 10 OS.

Obligāti, ja jums ir SSD disks un jūs joprojām vēlaties to darīt pretēji ieteikumam:Turklāt, kā minēts iepriekš, Trim atspējošana samazinās jūsu SSD diska kalpošanas laiku un laika gaitā ievērojami ietekmēs tā veiktspēju (jūsu klēpjdators kļūs aizvien lēnāks un lēnāks vairāku mēnešu lietošanas laikā, līdz tas kļūs gandrīz nelietojams, un tad jums būs jāiztīra disks un viss jāinstalē no jauna). Taču jums tas ir jādara, lai novērstu datu noplūdi, kas varētu ļaut kriminālistiem atspēkot jūsu ticamo noliegumu. Pašlaik vienīgais veids, kā to apiet, ir izmantot klēpjdatoru ar klasisko cieto disku.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

1. solis: Izveidojiet Windows 10 instalācijas USB atslēgu


Skatiet C pielikumu: Windows instalācijas multivides izveide un izvēlieties USB atslēgas ceļu.


Solis Nr. 2: Palaidiet USB atslēgu un sāciet Windows 10 instalēšanas procesu (Slēptā operētājsistēma).



Solis Nr. 3: Konfidencialitātes iestatījumi (Slēptā OS)


Skatīt B pielikumu: Windows papildu konfidencialitātes iestatījumi


4. solis: Veracrypt instalēšanas un šifrēšanas procesa sākšana (Slēptā OS)


Neaizmirstiet izlasīt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Nepieslēdziet šo operētājsistēmu zināmajam Wi-Fi tīklam. Veracrypt instalēšanas programmu lejupielādējiet no cita datora un nokopējiet instalēšanas programmu šeit, izmantojot USB atslēgu.


  • Veracrypt instalēšana
  • Palaidiet Veracrypt
  • Iet uz Iestatījumi:
    • (ņemiet vērā, ka šī opcija nav saderīga ar klēpjdatora hibernāciju un nozīmē, ka jums būs pilnībā jāizslēdzas).
    • Sistēma > Iestatījumi > Drošība > Izdzēst atslēgas no atmiņas, ja tiek ievietota jauna ierīce.
    • Sistēma > Iestatījumi > Windows > Ieslēgt drošu darbvirsmu
  • Iet uz Sistēma un izvēlieties Izveidot slēptu operētājsistēmu
  • Rūpīgi izlasiet visus norādījumus
  • Izvēlieties Single-Boot, ja tiek prasīts
  • Izveidojiet ārējo sējumu, izmantojot AES un SHA-512.
  • Izmantojiet visu otrajā nodalījumā pieejamo vietu ārējam sējumam.
  • Izmantojiet spēcīgu paroli (atcerieties A2 pielikumu: Paroļu un paroļu frāžu vadlīnijas).
  • Atlasiet jā Lieli faili
  • Izveidojiet entropiju, pārvietojot peli, līdz josla ir pilna, un izvēlieties NTFS (neizvēlieties exFAT, jo mēs vēlamies, lai šis ārējais sējums izskatītos "normāli", un NTFS ir normāls).
  • Formatējiet ārējo sējumu
  • Atveriet ārējo sējumu:
    • Šajā posmā ārējā sējumā jānokopē viltus dati. Tātad jums ir jābūt dažiem sensitīviem, bet ne tik sensitīviem failiem/mapēm, ko tur kopēt. Gadījumā, ja jums ir nepieciešams atklāt šī sējuma paroli. Šī ir laba vieta jūsu Anime/Mp3/Movies/Porn kolekcijai.
    • Es iesaku neaizpildīt ārējo sējumu pārāk daudz vai pārāk maz (aptuveni 40 %). Atcerieties, ka jums jāatstāj pietiekami daudz vietas Slēptās operētājsistēmas izveidei (tā būs tāda paša lieluma kā pirmais instalēšanas laikā izveidotais nodalījums).
  • Slēptajam sējumam izmantojiet spēcīgu piekļuves frāzi (protams, citu nekā ārējam sējumam).
  • Tagad izveidojiet Slēpto sējumu, izvēlieties AES un SHA-512.
  • Aizpildiet entropijas joslu līdz galam ar nejaušām peles kustībām.
  • formatējiet slēpto sējumu
  • Turpiniet klonēšanu
  • Veracrypt tagad restartēsies un klonēs Windows, kurā sākāt šo procesu, uz Slēpto sējumu. Šis Windows kļūs par jūsu Slēpto operētājsistēmu.
  • Kad klonēšana būs pabeigta, Veracrypt tiks restartēts Slēptajā sistēmā.
  • Veracrypt jūs informēs, ka Slēptā sistēma tagad ir instalēta, un pēc tam palūgs jums izdzēst oriģinālo OS (to, kuru iepriekš instalējāt ar USB atslēgu).
  • Izmantojiet 1-Pass Wipe un turpiniet.
  • Tagad jūsu slēptā OS būs instalēta, pārejiet uz nākamo soli.

5. solis: Pārstartējiet un ielādējiet USB atslēgu un atkal sāciet Windows 10 instalēšanas procesu (mānekļa OS).


Tagad, kad slēptā OS ir pilnībā instalēta, ir nepieciešams instalēt "mānekļa" OS.


  • Ievietojiet USB atslēgu savā klēpjdatorā
  • Skatiet A pielikumu: Windows instalēšana un turpiniet no jauna instalēt Windows 10 Home (neinstalējiet citu versiju un palieciet pie Home).

6. solis: Konfidencialitātes iestatījumi (atbaidošā OS)


Skatīt B pielikumu: Windows papildu konfidencialitātes iestatījumi


7. solis: Veracrypt instalēšanas un šifrēšanas procesa sākšana (pievilinātāja OS)


Tagad mēs šifrēsim "mānekļa" OS:


  • Instalējiet Veracrypt
  • Palaidiet VeraCrypt
  • Izvēlieties System
  • Atlasiet Šifrēt sistēmas nodalījumu/disku
  • Izvēlieties Normāls (vienkāršs)
  • Izvēlieties Single-Boot
  • Atlasiet AES kā šifrēšanas algoritmu (noklikšķiniet uz testa pogas, ja vēlaties salīdzināt ātrumu).
  • Izvēlieties SHA-512 kā šifrēšanas algoritmu (jo kāpēc ne).
  • Ievadiet īsu vāju paroli (jā, tas ir nopietni, dariet to, tas tiks paskaidrots vēlāk).
  • Apkopojiet entropiju, nejauši pārvietojot kursoru, līdz josla ir pilna.
  • Noklikšķiniet uz Tālāk, jo tiek parādīts ekrāns Generated Keys (ģenerētās atslēgas)
  • Glābt vai neglābt disku, tas ir jūsu ziņā. Es iesaku izveidot vienu (uz visiem gadījumiem), tikai pārliecinieties, ka tas tiek glabāts ārpus šifrētā diska (piemēram, USB atslēga, vai arī pagaidiet un skatiet šīs rokasgrāmatas beigās norādījumus par drošām dublējuma kopijām). Šajā glābšanas diskā netiks saglabāta jūsu piekļuves frāze, un jums tā joprojām būs nepieciešama, lai to izmantotu.
  • Tīrīšanas režīms: Drošībai izvēlieties 1 paroli.
  • Veiciet iepriekšēju konfigurācijas pārbaudi. Veracrypt tagad pārstartēs jūsu sistēmu, lai pirms šifrēšanas pārbaudītu sākumiekrāvēju. Šim testam ir jāiztur, lai šifrēšanu varētu turpināt.
  • Pēc datora pārstartēšanas un testa izturēšanas. Veracrypt parādīsies Veracrypt uzaicinājums sākt šifrēšanas procesu.
  • Sāciet šifrēšanu un pagaidiet, līdz tā tiks pabeigta.
  • Tagad jūsu mānekļa operētājsistēma ir gatava lietošanai.

8. posms: pārbaudiet savu iestatījumu (boot in Both)


Laiks pārbaudīt savu iestatījumu.


  • Pārstartējiet un ievadiet Slēptās operētājsistēmas paroli, un jums vajadzētu startēt Slēptajā operētājsistēmā.
  • Pārstartējiet un ievadiet savu atbaidošās OS paroli, un jums būtu jāstartē no atbaidošās OS.
  • Palaidiet Veracrypt atbaidīšanas OS un pievienojiet otro nodalījumu, izmantojot ārējā sējuma paroli (pievienojiet to tikai lasīšanai, atverot Mount Options un izvēloties Read-Only), un tam vajadzētu pievienot otro nodalījumu tikai lasīšanai, parādot jūsu atbaidīšanas datus (jūsu Anime/Porn kolekciju). Tagad tas tiek montēts tikai lasīšanai, jo, ja tajā tiktu ierakstīti dati, jūs varētu aizstāt slēpto operētājsistēmu saturu.

Solis Nr. 9: Droša mānekļa datu maiņa ārējā sējumā


Pirms pāriet pie nākamā soļa, jums vajadzētu iemācīties, kā droši uzstādīt savu Ārējo sējumu, lai uz tā rakstītu saturu. Tas ir izskaidrots arī šajā oficiālajā Veracrypt dokumentācijā https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org].


Tas jādara no drošas, uzticamas vietas.


Būtībā jūs pievienosiet savu ārējo sējumu, vienlaikus norādot slēptā sējuma paroli uzstādīšanas opcijās, lai aizsargātu slēpto sējumu no pārrakstīšanas. Veracrypt pēc tam ļaus ierakstīt datus uz Ārējo sējumu, neriskējot pārrakstīt datus Slēptajā sējumā.


Šī darbība faktiski nepievienos Slēpto sējumu, un tai vajadzētu novērst jebkādu kriminālistikas pierādījumu radīšanu, kas varētu novest pie Slēptās operētājsistēmas atklāšanas. Tomēr, kamēr veicat šo operāciju, abas paroles tiks saglabātas operatīvajā atmiņā, tāpēc jūs joprojām varat būt neaizsargāts pret aukstās palaišanas uzbrukumu. Lai to mazinātu, pārliecinieties, vai ir iespēja šifrēt arī operatīvo atmiņu.


  • Atveriet Veracrypt
  • Izvēlieties savu otro nodalījumu
  • Noklikšķiniet uz Mount
  • Noklikšķiniet uz Mount Options
  • Atzīmējiet "Protect the Hidden volume...". Iespēja
  • Ievadiet Slēptās operētājsistēmas piekļuves frāzi
  • Noklikšķiniet uz Labi
  • Ievadiet ārējā sējuma piekļuves frāzi
  • Noklikšķiniet uz OK
  • Tagad jums vajadzētu būt iespējai atvērt un rakstīt uz savu Ārējo sējumu, lai mainītu tā saturu (kopēt/pārvietot/dzēst/rediģēt...).

10. solis: Atstājiet dažus ārējā sējuma (ar viltus datiem) pierādījumus kriminālistikā savā viltus operētājsistēmā.


Mums ir jāpadara mānekļa OS pēc iespējas ticamāku. Mēs arī vēlamies, lai jūsu pretinieks domātu, ka neesat tik gudrs.


Tāpēc ir svarīgi brīvprātīgi atstāt dažus kriminālistikas pierādījumus par savu mānekļa saturu savā mānekļa OS. Šie pierādījumi ļaus kriminālistikas ekspertiem redzēt, ka jūs bieži montējāt savu ārējo sējumu, lai piekļūtu tā saturam.


Šeit ir sniegti labi padomi, kā atstāt dažus kriminālistikas pierādījumus:


  • Atskaņojiet ārējā sējuma saturu no savas atbaidīšanas OS (piemēram, izmantojot VLC). Pārliecinieties, ka saglabājat to vēsturi.
  • Rediģējiet dokumentus un strādājiet tajos.
  • Atkārtoti ieslēdziet failu indeksēšanu atbaidīšanas operētājsistēmā un iekļaujiet tajā uzstādīto ārējo sējumu.
  • Atvienojiet to un bieži to pievienojiet, lai skatītos kādu saturu.
  • Nokopējiet kādu saturu no ārējā sējuma uz uztvērējiekārtu OS un pēc tam to nedroši izdzēsiet (vienkārši ievietojiet to atkritumu grozā).
  • Uz mānekļa operētājsistēmas instalējiet Torrent klientu, lai laiku pa laikam to izmantotu līdzīgu materiālu lejupielādei, ko atstājat mānekļa operētājsistēmā.
  • Varētu būt uzstādīts VPN klients, kas ir instalēts Decoy OS, izmantojot zināmu jūsu VPN (kas nav apmaksāts naudā).

Neievietojiet neko aizdomīgu, piemēram:


  • Šī rokasgrāmata
  • jebkuras saites uz šo rokasgrāmatu
  • nekāda aizdomīga anonimitātes programmatūra, piemēram, Tor Browser

Piezīmes.


Atcerieties, ka, lai šis ticamas noliegšanas scenārijs darbotos, jums būs nepieciešami pamatoti attaisnojumi:


Atvēliet laiku, lai vēlreiz izlasītu Veracrypt dokumentācijas sadaļu "Iespējamie skaidrojumi divu Veracrypt nodalījumu pastāvēšanai uz viena diska" šeit https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


  • Jūs izmantojat Veracrypt, jo izmantojat operētājsistēmu Windows 10 Home, kurā nav funkcijas Bitlocker, bet tomēr vēlējāties nodrošināt konfidencialitāti.
  • Jums ir divi nodalījumi, jo jūs vēlējāties nodalīt sistēmu un datus, lai atvieglotu organizēšanu, un tāpēc, ka kāds draugs ģeķis jums teica, ka tas ir labāk veiktspējas ziņā.
  • Jūs esat izmantojis vāju paroli, lai ērti un ērti ielādētu Sistēmu, un stipru garu paroli ārējam sējumam, jo bijāt pārāk slinks, lai ievadītu stipru paroli katras ielādes laikā.
  • Jūs šifrējāt otro nodalījumu ar paroli, kas atšķiras no sistēmas paroles, jo nevēlaties, lai kāds no jūsu apkārtnes redzētu jūsu lietas. Un tāpēc jūs nevēlējāties, lai šie dati būtu pieejami ikvienam.

Esiet uzmanīgi:


  • Nekad nedrīkst uzstādīt slēpto sējumu no mānekļa operētājsistēmas (NEKAD NEKAD). Ja jūs to izdarīsiet, tas radīs kriminālistikas pierādījumus par Slēpto sējumu mānekļa operētājsistēmā, kas var apdraudēt jūsu mēģinājumu ticami noliegt. Ja jūs to tik un tā izdarījāt (tīši vai netīši) no mānekļa operētājsistēmas, ir veidi, kā izdzēst kriminālistikas pierādījumus, kas tiks izskaidroti vēlāk šīs rokasgrāmatas beigās.
  • Nekad nelietojiet mānekļa OS no tā paša tīkla (publiskā Wi-Fi), kurā ir slēptā OS.
  • Kad no mānekļa OS pieslēdzat ārējo sējumu, neierakstiet ārējā sējumā nekādus datus, jo tas var aizstāt to, kas izskatās kā tukša vieta, bet patiesībā ir jūsu slēptā OS. Tas vienmēr jāuzmontē tikai lasīšanai.
  • Ja vēlaties mainīt ārējā sējuma ārējā sējuma saturu, izmantojiet Live OS USB atslēgu, kurā tiks palaists Veracrypt.
  • Ņemiet vērā, ka Slēpto operētājsistēmu neizmantosiet sensitīvu darbību veikšanai, tas tiks darīts vēlāk no VM Slēptajā operētājsistēmā. Slēptā OS ir paredzēta tikai tam, lai aizsargātu jūs no mīksta pretinieka, kas varētu iegūt piekļuvi jūsu klēpjdatoram un piespiest jūs atklāt savu paroli.
  • Esiet piesardzīgi pret jebkādu manipulāciju ar jūsu klēpjdatoru. Ļaunprātīgie uzbrukumi var atklāt jūsu slēpto operētājsistēmu.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Virtualbox jūsu galvenajā operētājsistēmā.


Atcerieties W pielikumu: Virtualizācija.


Šis un turpmākie soļi jāveic no resursdatora OS. Tā var būt vai nu jūsu Uzņēmēja OS ar vienkāršu šifrēšanu (Windows/Linux/MacOS), vai jūsu Slēptā OS ar ticamu noliegumu (tikai Windows).


Šajā maršrutā mēs plaši izmantosim bezmaksas Oracle Virtualbox programmatūru. Tā ir virtualizācijas programmatūra, kurā var izveidot virtuālās mašīnas, kas emulē datoru, kurā darbojas konkrēta OS (ja vēlaties izmantot ko citu, piemēram, Xen, Qemu, KVM vai VMWARE, varat to darīt, bet ērtības labad šajā rokasgrāmatas daļā aplūkota tikai Virtualbox).


Tāpēc jums jāapzinās, ka Virtualbox nav virtualizācijas programmatūra ar vislabākajiem rezultātiem drošības ziņā un dažas no ziņotajām problēmām līdz šim nav pilnībā novērstas, un, ja izmantojat Linux ar nedaudz lielākām tehniskajām prasmēm, jums vajadzētu apsvērt iespēju tā vietā izmantot KVM, sekojot Whonix pieejamai rokasgrāmatai šeit https://www.whonix.org/wiki/KVM [Archive.org] un šeit https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


Visos gadījumos ir jāveic daži pasākumi:


Visas sensitīvās darbības tiks veiktas no viesu virtuālās mašīnas, kurā darbojas Windows 10 Pro (šoreiz ne Home), Linux vai MacOS.


Tam ir dažas priekšrocības, kas ievērojami palīdzēs jums saglabāt anonimitāti:


  • Tas neļaus viesu virtuālās mašīnas operētājsistēmai (Windows/Linux/MacOS), lietojumprogrammām un jebkādai telemetrijai virtuālajās mašīnās tieši piekļūt jūsu aparatūrai. Pat ja jūsu VM ir apdraudēta ar ļaunprātīgu programmatūru, šai ļaunprātīgajai programmatūrai nevajadzētu būt iespējai piekļūt VM un apdraudēt jūsu faktisko klēpjdatoru.
  • Tas ļaus mums piespiest visu tīkla datplūsmu no jūsu klienta VM veikt caur citu Gateway VM, kas visu datplūsmu novirzīs (torificēs) uz Tor tīklu. Tas ir tīkla "nogalināšanas slēdzis". Jūsu VM pilnībā zaudēs tīkla savienojamību un pāries bezsaistē, ja otra VM zaudēs savienojumu ar Tor tīklu.
  • Pati VM, kurai ir interneta savienojamība tikai ar Tor tīkla vārteja starpniecību, pieslēgsies jūsu naudā apmaksātajam VPN pakalpojumam, izmantojot Tor.
  • DNS noplūde nebūs iespējama, jo VM atrodas izolētā tīklā, kuram neatkarīgi no situācijas ir jāiziet caur Tor tīklu.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Izvēlieties savu savienojamības metodi.


Šajā maršrutā ir 7 iespējas:


  • Ieteicamais un vēlamais:
    • Izmantojiet tikai Tor (Lietotājs > Tor > Internets).
    • īpašos gadījumos izmantot VPN, izmantojot Tor (Lietotājs > Tor > VPN > Internets).
  • Iespējams, ja to prasa konteksts:
    • izmantot VPN pār Tor pār VPN (Lietotājs > VPN > Tor > VPN > VPN > Internets).
    • izmantot Tor pār VPN (Lietotājs > VPN > Tor > Internets)
  • Nav ieteicams un riskanti:
    • Lietot tikai VPN (Lietotājs > VPN > Internets)
    • VPN izmantošana, izmantojot VPN (Lietotājs > VPN > VPN > VPN > Internets)
  • Nav ieteicams un ir ļoti riskanti (bet iespējams).
    • Nav VPN un Tor (Lietotājs > Internets)
2021 08 05 08 06

Tikai Tor.


Šis ir vēlamais un ieteicamākais risinājums.
2021 08 05 08 06 1

Izmantojot šo risinājumu, viss jūsu tīkls iet caur Tor, un vairumā gadījumu ar to pietiek, lai garantētu jūsu anonimitāti.


Ir viens galvenais trūkums: daži pakalpojumi bloķē/aizliedz Tor Exit mezglus un neļauj izveidot kontus no tiem.


Lai to mazinātu, iespējams, jums būs jāapsver nākamā iespēja: Tomēr jāņem vērā daži ar to saistītie riski, kas izskaidroti nākamajā sadaļā.


VPN/Proxy caur Tor.


Šis risinājums dažos īpašos gadījumos var sniegt zināmas priekšrocības salīdzinājumā ar Tor izmantošanu tikai tad, ja piekļuve galamērķa pakalpojumam nebūtu iespējama no Tor izejas mezgla. Tas ir tāpēc, ka daudzi pakalpojumi vienkārši aizliegs, kavēs vai bloķēs Tor ( sk. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Kā redzams šajā attēlā, ja jūsu naudas (vēlamais)/Monero apmaksāto VPN/Proxy kompromitē kāds pretinieks (neskatoties uz to privātuma deklarāciju un nepierakstīšanās politiku), tas atradīs tikai anonīmu naudas/Monero apmaksāto VPN/Proxy kontu, kas pieslēdzas viņu pakalpojumiem no Tor Exit mezgla.
2021 08 05 08 07

Ja pretiniekam kaut kā izdodas kompromitēt arī Tor tīklu, viņš atklās tikai nejauši izvēlēta publiskā Wi-Fi tīkla IP, kas nav saistīts ar jūsu identitāti.


Ja pretinieks kaut kādā veidā kompromitē jūsu VM OS (piemēram, ar ļaunprātīgu programmatūru vai ekspluatantu), viņš tiks iesprostots Whonix iekšējā tīklā un nespēs atklāt publiskā Wi-Fi IP.


Tomēr šim risinājumam ir viens būtisks trūkums: Tor plūsmas izolācijas traucējumi.


Straumju izolācija ir mazināšanas metode, ko izmanto, lai novērstu dažus korelācijas uzbrukumus, katrai lietojumprogrammai izmantojot atšķirīgas Tor ķēdes. Šeit ir ilustrācija, kas parāda, kas ir plūsmas izolācija:
2021 08 05 08 08

(Ilustrācija no Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org]).


VPN/Proxy pār Tor atrodas labajā pusē, kas nozīmē, ka VPN/Proxy pār Tor izmantošana liek Tor izmantot vienu ķēdi visām darbībām, nevis vairākas ķēdes katrai darbībai. Tas nozīmē, ka VPN/Proxy izmantošana pār Tor dažos gadījumos var nedaudz samazināt Tor efektivitāti, un tāpēc to vajadzētu izmantot tikai dažos īpašos gadījumos:


  • Ja galamērķa pakalpojums neļauj izmantot Tor izejas mezglus.
  • Ja jums nav iebildumu izmantot kopīgu Tor ķēdi dažādiem pakalpojumiem. Piemēram, lai izmantotu dažādus autentificētus pakalpojumus.

Tomēr jums vajadzētu apsvērt iespēju neizmantot šo metodi, ja jūsu mērķis ir tikai nejauši pārlūkot dažādas neautentificētas tīmekļa vietnes, jo jūs negūsiet labumu no plūsmas izolācijas, un tas laika gaitā varētu atvieglot korelācijas uzbrukumus pretiniekam starp katru jūsu sesiju (skatiet sadaļu Jūsu anonimizētā Tor/VPN datplūsma). Tomēr, ja jūsu mērķis ir katrā sesijā izmantot vienu un to pašu identitāti tajos pašos autentificētajos pakalpojumos, plūsmas izolācijas vērtība ir mazāka, jo jūs var korelēt ar citiem līdzekļiem.


Jums arī jāzina, ka plūsmas izolācija nav obligāti konfigurēta pēc noklusējuma Whonix Workstation. Tā ir iepriekš konfigurēta tikai dažām lietojumprogrammām (tostarp Tor Browser).


Tāpat ņemiet vērā, ka plūsmas izolācija ne vienmēr maina visus jūsu Tor ķēdes mezglus. Dažreiz tā var mainīt tikai vienu vai divus. Daudzos gadījumos Stream Isolation (piemēram, Tor pārlūkā) mainīs tikai releja (vidējo) mezglu un izejas mezglu, saglabājot to pašu sargmezglu (ieejas mezglu).


Plašāka informācija atrodama vietnē:



Tor pār VPN.


Jums varētu būt interesanti: Vai jūs varētu izmantot Tor pār VPN, nevis VPN pār Tor? Nu, es to noteikti nedarītu:


  • Trūkumi:
    • Jūsu VPN pakalpojumu sniedzējs ir tikai vēl viens interneta pakalpojumu sniedzējs, kas zinās jūsu izcelsmes IP un vajadzības gadījumā varēs jūs deanonimizēt. Mēs viņiem neuzticamies. Es dodu priekšroku situācijai, kad VPN pakalpojumu sniedzējs nezina, kas jūs esat. Anonimitātes ziņā tas neko daudz nepapildina.
    • Tā rezultātā jūs pieslēgtos dažādiem pakalpojumiem, izmantojot Tor izejas mezgla IP, kas daudzviet ir aizliegti/iezīmēti. Tas nepalīdz ērtības ziņā.
  • Priekšrocības:
    • Galvenā priekšrocība patiešām ir tā, ka, ja atrodaties naidīgā vidē, kur Tor piekļuve ir neiespējama/bīstama/apšaubāma, bet VPN ir ok.
    • Šī metode arī nepārtrauc Tor plūsmas izolāciju.

Piezīme: Ja jums ir problēmas ar piekļuvi Tor tīklam bloķēšanas/cenzūras dēļ, varat mēģināt izmantot Tor tiltus. Skatīt X pielikumu: Tor tiltu izmantošana naidīgā vidē.


Var arī apsvērt iespēju apsvērt iespēju izmantot VPN, izmantojot Tor pār VPN (Lietotājs > VPN > Tor > Tor > VPN > Internets ), tā vietā izmantojot divus naudas/Monero apmaksātus VPN. Tas nozīmē, ka jūs pieslēgsiet host OS pirmajam VPN no sava publiskā Wi-Fi, tad Whonix pieslēgsies Tor un visbeidzot jūsu VM pieslēgsies otrajam VPN pār Tor over VPN ( skatiet https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Tas, protams, būtiski ietekmēs veiktspēju un var būt diezgan lēns, bet, manuprāt, Tor ir kaut kur nepieciešams, lai panāktu saprātīgu anonimitāti.


Tehniski to sasniegt šajā maršrutā ir viegli, jums ir nepieciešami divi atsevišķi anonīmi VPN konti, un jums ir jāizveido savienojums ar pirmo VPN no resursdatora operētājsistēmas un jāseko maršrutam.


Secinājums: Tas ir nepieciešams tikai tad, ja jūs domājat, ka izmantot Tor vien ir riskanti/neiespējami, bet VPN ir labi. Vai vienkārši tāpēc, ka jūs varat, un kāpēc ne.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Tikai VPN.


Šis ceļš netiks ne izskaidrots, ne arī ieteikts.


Ja jūs varat izmantot VPN, tad jums vajadzētu būt iespējai tam pievienot Tor slāni. Un, ja varat izmantot Tor, tad varat pievienot anonīmu VPN virs Tor, lai iegūtu vēlamo risinājumu.


Tikai izmantot VPN vai pat VPN virs VPN nav jēgas, jo laika gaitā tos var izsekot līdz jums. Viens no VPN pakalpojumu sniedzējiem zinās jūsu īsto izcelsmes IP (pat ja tas ir drošā publiskā telpā), un pat tad, ja jūs pievienosiet vienu pār to, otrs pakalpojumu sniedzējs joprojām zinās, ka jūs izmantojāt šo otru pirmo VPN pakalpojumu. Tas tikai nedaudz aizkavēs jūsu anonimizācijas atcelšanu. Jā, tas ir papildu slānis... bet tas ir pastāvīgs centralizēts papildu slānis, un laika gaitā jūs varat tikt deanonimizēts. Tas ir tikai trīs interneta pakalpojumu sniedzēju ķēdes, uz kuriem visiem attiecas likumīgi pieprasījumi.


Lai iegūtu vairāk informācijas, lūdzu, skatiet šādas atsauces:



Šīs rokasgrāmatas kontekstā Tor ir nepieciešams kaut kur, lai panāktu saprātīgu un drošu anonimitāti, un jums to vajadzētu izmantot, ja varat.


Nav VPN/Tor.


Ja jūs nevarat izmantot ne VPN, ne Tor tur, kur atrodaties, jūs, iespējams, atrodaties ļoti naidīgā vidē, kur uzraudzība un kontrole ir ļoti augsta.


Vienkārši to nedariet, tas nav tā vērts un ir pārāk riskanti IMHO. Jūs gandrīz uzreiz var deanonimizēt jebkurš motivēts pretinieks, kas dažu minūšu laikā varētu nokļūt jūsu fiziskajā atrašanās vietā.


Neaizmirstiet vēlreiz pārbaudīt pretiniekus (draudus) un S pielikumu: Pārbaudiet, vai jūsu tīkls nav pakļauts uzraudzībai/cenzūrai, izmantojot OONI.


Ja jums nav absolūti nekādu citu iespēju un tomēr vēlaties kaut ko darīt, skatiet pielikumu P: Piekļuve internetam pēc iespējas drošāk, ja Tor/VPN nav iespēj ama (uz savu risku), un tā vietā apsveriet The Tails maršrutu.


Secinājums.

2021 08 05 08 11

Diemžēl, izmantojot Tor tikai vienu vien, daudzu galamērķu platformām radīsies aizdomas. Ja izmantosiet tikai Tor, sastapsieties ar daudziem šķēršļiem (kaptčas, kļūdas, grūtības reģistrēties). Turklāt, izmantojot Tor tur, kur atrodaties, jums var rasties nepatikšanas tikai par to. Taču Tor joprojām ir labākais risinājums anonimitātei, un tam ir jābūt kaut kur, lai nodrošinātu anonimitāti.


  • Ja jūsu nolūks ir izveidot noturīgas koplietojamas un autentificētas identitātes dažādos pakalpojumos, kur piekļuve no Tor ir apgrūtināta, es iesaku VPN pār Tor iespēju (vai VPN pār Tor pār VPN, ja nepieciešams). Tas varētu būt nedaudz mazāk drošs pret korelācijas uzbrukumiem Tor plūsmas izolācijas laušanas dēļ, taču nodrošina daudz lielāku ērtību piekļuvē tiešsaistes resursiem nekā tikai izmantojot Tor. Tas ir "pieņemams" kompromiss IMHP, ja esat pietiekami uzmanīgs ar savu identitāti.
  • Tomēr, ja jūsu nolūks ir tikai anonīmi pārlūkot nejaušus pakalpojumus, neradot īpašas kopīgas identitātes, izmantojot Tor draudzīgus pakalpojumus; vai arī, ja nevēlaties pieņemt šo kompromisu iepriekšējā variantā. Tad es iesaku izmantot tikai Tor maršrutu, lai saglabātu visas priekšrocības, ko sniedz plūsmas izolēšana (vai Tor ar VPN, ja jums tas ir nepieciešams).
  • Ja izmaksas ir problēma, es iesaku izmantot tikai Tor iespēju, ja tas ir iespējams.
  • Ja gan Tor, gan VPN piekļuve nav iespējama vai ir bīstama, tad jums nav citas izvēles, kā droši paļauties uz publisko wi-fis. Skatīt P pielikumu: Pēc iespējas drošāka piekļuve internetam, ja Tor un VPN nav iespējama.

Lai iegūtu vairāk informācijas, varat arī apskatīt šeit atrodamās diskusijas, kas varētu palīdzēt jums pašiem pieņemt lēmumu:


 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Iegūstiet anonīmu VPN/Proxy.


Šo soli izlaidiet, ja vēlaties izmantot tikai Tor.


Skatīt O pielikumu: Iegūstiet anonīmu VPN/Proxy.


Whonix.


Šo soli izlaidiet, ja nevarat izmantot Tor.


Šajā maršrutā anonimizācijas procesā tiks izmantota virtualizācija un Whonix309. Whonix ir Linux distribūcija, kas sastāv no divām virtuālajām mašīnām:


  • Whonix darbstacija (tā ir virtuālā mašīna, kurā varat veikt sensitīvas darbības).
  • Whonix Gateway (šī VM izveidos savienojumu ar Tor tīklu un maršrutēs visu tīkla datplūsmu no darbstacijas caur Tor tīklu).

Tāpēc šajā rokasgrāmatā tiks piedāvāti 2 šī maršruta varianti:


  • Tikai Whonix maršruts, kurā visa datplūsma tiek maršrutēta caur Tor tīklu (tikai Tor vai Tor over VPN).
2021 08 05 08 13

Whonix hibrīdmaršruts, kurā visa datplūsma tiek virzīta, izmantojot skaidras naudas (vēlams)/Monero apmaksātu VPN caur Tor tīklu (VPN pār Tor vai VPN pār Tor pār VPN).

2021 08 05 08 13 1

Jūs varēsiet izlemt, kuru garšu izmantot, pamatojoties uz maniem ieteikumiem. Es iesaku otro, kā paskaidrots iepriekš.


Whonix ir labi uzturēts, un tam ir plaša un neticami detalizēta dokumentācija.


Piezīme par Virtualbox Snapshots.


Vēlāk jūs izveidosiet un palaidīsiet Virtualbox vairākas virtuālās mašīnas, lai veiktu sensitīvas darbības. Virtualbox nodrošina funkciju "Snapshots", kas ļauj saglabāt VM stāvokli jebkurā brīdī. Ja vēlāk kāda iemesla dēļ vēlaties atgriezties pie šī stāvokļa, varat jebkurā brīdī atjaunot šo momentuzņēmumu.


Es stingri iesaku izmantot šo funkciju, izveidojot momentuzņēmumu pēc katras VM sākotnējās instalēšanas/atjaunināšanas. Šis momentuzņēmums jāizdara pirms to izmantošanas jebkādām sensitīvām/anonīmām darbībām.


Tas ļaus pārvērst jūsu VM par sava veida vienreizlietojamām "dzīvajām operētājsistēmām" (līdzīgi kā iepriekš aplūkotajās "astes" sistēmās). Tas nozīmē, ka jūs varēsiet izdzēst visas savas darbības pēdas VM, atjaunojot momentuzņēmumu agrākajā stāvoklī. Protams, tas nebūs "tik labi" kā Tails (kur viss tiek saglabāts atmiņā), jo cietajā diskā var palikt šīs darbības pēdas. Kriminālistikas pētījumi ir pierādījuši, ka ir iespējams atgūt datus no atjaunotas VM. Par laimi, būs veidi, kā šīs pēdas pēc dzēšanas vai atgriešanas pie iepriekšējā momentuzņēmuma likvidēt. Šādi paņēmieni tiks aplūkoti šīs rokasgrāmatas sadaļā Daži papildu pasākumi pret kriminālistiku.


Lejupielādējiet Virtualbox un Whonix utilītprogrammas.


Jums ir jālejupielādē dažas lietas uzņēmējas OS ietvaros.



Ar to tiks pabeigti sagatavošanās darbi, un tagad jums jābūt gatavam sākt iestatīt galīgo vidi, kas aizsargās jūsu anonimitāti tiešsaistē.


Ieteikumi par Virtualbox nostiprināšanu.


Ieteikumi: Lai nodrošinātu ideālu drošību, jāievēro šeit sniegtie ieteikumi katrai Virtualbox virtuālajai mašīnai https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:


  • Atslēgt audio.
  • Neiedarbiniet koplietošanas mapes.
  • Neiedarbiniet 2D paātrinājumu. To veic, izpildot šādu komandu VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off.
  • Neieslēdziet 3D paātrinājumu.
  • Neieslēdziet seriālo portu.
  • Noņemiet disketes disku.
  • Noņemiet CD/DVD diskdzini.
  • Neieslēdziet attālā displeja serveri.
  • Ieslēgt PAE/NX (NX ir drošības funkcija).
  • Izslēgt Advanced Configuration and Power Interface (ACPI). To veic, izpildot šādu komandu VBoxManage modifyvm "vm-id" --acpi on|off.
  • Nepievienojiet USB ierīces.
  • Izslēdziet USB kontrolieri, kas ir ieslēgts pēc noklusējuma. Iestatiet norādīšanas ierīci "PS/2 Mouse", pretējā gadījumā izmaiņas tiks atgrieztas.

Visbeidzot, ievērojiet arī šo ieteikumu, lai desinhronizētu jūsu VM pulksteni salīdzinājumā ar host OS https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org].


Šim nobīdei jābūt 60000 milisekunžu diapazonā, un katrai VM tai jābūt atšķirīgai, un šeit ir daži piemēri (kurus vēlāk var piemērot jebkurai VM):


  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Apsveriet arī iespēju piemērot šos mazināšanas pasākumus no VirtualBox, lai mazinātu Spectre/Meltdown ievainojamību, izpildot šo komandu no VirtualBox Program Directory. Visi šie risinājumi ir aprakstīti šeit: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (ņemiet vērā, ka tie var nopietni ietekmēt jūsu virtuālo mašīnu veiktspēju, bet tie ir jāveic, lai nodrošinātu vislabāko drošību).


Visbeidzot, ņemiet vērā pašu Virtualbox drošības ieteikumus šeit: https: //www.virtualbox.org/manual/ch13.html [Archive.org].
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Tor pār VPN.


Šo soli izlaidiet, ja neplānojat izmantot Tor over VPN un plānojat izmantot tikai Tor vai nevarat to darīt.


Ja kāda iemesla dēļ plānojat izmantot Tor over VPN. Vispirms ir jākonfigurē VPN pakalpojums galvenajā operētājsistēmā.


Atcerieties, ka šajā gadījumā es iesaku izveidot divus VPN kontus. Abi apmaksāti ar skaidru naudu/Monero (skatīt O pielikumu: Iegūt anonīmu VPN/Proxy). Viens no tiem tiks izmantots uzņēmēja OS pirmajam VPN savienojumam. Otru var izmantot virtuālajā datorā, lai panāktu VPN ar Tor pār VPN (Lietotājs > VPN > Tor > VPN).


Ja plānojat izmantot tikai Tor over VPN, jums ir nepieciešams tikai viens VPN konts.


Norādījumus skatiet R papildinājumā: VPN instalēšana VM vai host OS.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Whonix virtuālās mašīnas.


Šo soli izlaidiet, ja nevarat izmantot Tor.



Šajā posmā atcerieties, ka, ja jums ir problēmas ar pieslēgšanos Tor cenzūras vai bloķēšanas dēļ, jums jāapsver iespēja pieslēgties, izmantojot Bridges, kā paskaidrots šajā pamācībā https://www.whonix.org/wiki/Bridges [Archive.org].



Svarīga piezīme: jums vajadzētu izlasīt arī šos ļoti labos ieteikumus vietnē https://www.whonix.org/wiki/DoNot [Archive.org], jo lielākā daļa šo principu attieksies arī uz šo rokasgrāmatu. Jums vajadzētu izlasīt arī viņu vispārējo dokumentāciju šeit https://www.whonix.org/wiki/Documentation [Archive.org], kurā arī būs sniegta virkne padomu, tāpat kā šajā rokasgrāmatā.
 
Top