Przewodnik po anonimowości online (https://anonymousplanet.org/)

Korzystanie na własne ryzyko. Nie traktuj tego przewodnika jako ostatecznej prawdy o wszystkim, ponieważ tak nie jest.

Spoiler: Spis treści

• Wprowadzenie:
• Zrozumienie podstaw tego, w jaki sposób niektóre informacje mogą prowadzić z powrotem do ciebie i jak złagodzić niektóre z nich:
  • Sieć:
    • Twój adres IP:
    • Żądania DNS i IP:
    • Urządzenia obsługujące RFID:
    • Urządzenia Wi-Fi i Bluetooth wokół ciebie:
    • Złośliwe/nieuczciwe punkty dostępu Wi-Fi:
    • Zanonimizowany ruch Tor/VPN:
    • Niektóre urządzenia mogą być śledzone nawet w trybie offline:
  • Identyfikatory sprzętu:
    • IMEI i IMSI (a tym samym numer telefonu):
    • Adres MAC sieci Wi-Fi lub Ethernet:
    • Adres MAC Bluetooth:
  • Procesor:
  • Systemy operacyjne i usługi telemetryczne aplikacji:
  • ogólnie urządzenia inteligentne:
  • Ty sam:
    • Twoje metadane, w tym geolokalizacja:
    • Cyfrowy odcisk palca, ślad i zachowanie online:
    • Wskazówki dotyczące prawdziwego życia i OSINT:
    • Twarz, głos, dane biometryczne i zdjęcia:
    • Phishing i inżynieria społeczna:
  • Złośliwe oprogramowanie, exploity i wirusy:
    • Złośliwe oprogramowanie w plikach/dokumentach/wiadomościach e-mail:
    • Złośliwe oprogramowanie i exploity w aplikacjach i usługach:
    • Złośliwe urządzenia USB:
    • Złośliwe oprogramowanie i backdoory w oprogramowaniu sprzętowym i systemie operacyjnym:
  • Pliki, dokumenty, zdjęcia i filmy:
    • Właściwości i metadane:
    • Znak wodny:
    • Rozpikselowane lub niewyraźne informacje:
  • Transakcje w kryptowalutach:
  • Kopie zapasowe/usługi synchronizacji w chmurze:
  • Odciski palców przeglądarki i urządzenia:
  • Lokalne wycieki danych i kryminalistyka:
  • Zła kryptografia:
  • Brak logowania, ale i tak zasady logowania:
  • Zaawansowane techniki ukierunkowane:
  • Dodatkowe zasoby:
  • Uwagi:
• Ogólne przygotowania:
  • Wybór trasy:
    • Ograniczenia czasowe:
    • Ograniczenia budżetowe/materiałowe:
    • Umiejętności:
    • Przeciwnicy (zagrożenia):
  • Kroki dla wszystkich tras:
    • Uzyskanie anonimowego numeru telefonu:
    • Zdobądź klucz USB:
    • Znajdź bezpieczne miejsca z przyzwoitym publicznym Wi-Fi:
  • Trasa TAILS:
    • Persistent Plausible Deniability przy użyciu Whonix w ramach TAILS:
  • Kroki dla wszystkich innych tras:
    • Zdobądź dedykowany laptop do wykonywania wrażliwych działań:
    • Kilka zaleceń dotyczących laptopów:
    • Ustawienia Bios/UEFI/Firmware laptopa:
    • Fizyczna ochrona laptopa:
  • Trasa Whonix:
    • Wybór systemu operacyjnego hosta (systemu operacyjnego zainstalowanego na laptopie):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows Host OS:
    • Virtualbox na systemie operacyjnym hosta:
    • Wybierz metodę połączenia:
    • Uzyskaj anonimowy VPN/Proxy:
    • Whonix:
    • Tor przez VPN:
    • Whonix Maszyny wirtualne:
    • Wybierz maszynę wirtualną stacji roboczej gościa:
    • Maszyna wirtualna Linux (Whonix lub Linux):
    • Windows 10 Maszyna wirtualna:
    • Android Maszyna wirtualna:
    • MacOS Maszyna wirtualna:
    • KeepassXC:
    • Instalacja klienta VPN (płatna gotówką/Monero):
    • (opcjonalnie) umożliwiając tylko maszynom wirtualnym dostęp do Internetu, jednocześnie odcinając system operacyjny hosta, aby zapobiec wyciekom:
    • Ostatni krok:
  • Trasa Qubes:
    • Wybierz metodę połączenia:
    • Uzyskaj anonimowy VPN/Proxy:
    • Instalacja:
    • Lid Closure Behavior:
    • Połączenie z publiczną siecią Wi-Fi:
    • Aktualizacja Qubes OS:
    • Hardening Qubes OS:
    • Konfiguracja VPN ProxyVM:
    • Konfiguracja bezpiecznej przeglądarki w Qube OS (opcjonalne, ale zalecane):
    • Konfiguracja maszyny wirtualnej Android:
    • KeePassXC:
• Tworzenie anonimowej tożsamości online:
  • Zrozumienie metod używanych do zapobiegania anonimowości i weryfikacji tożsamości:
    • Captcha:
    • Weryfikacja telefoniczna:
    • Weryfikacja e-mail:
    • Sprawdzanie danych użytkownika:
    • Weryfikacja dowodu tożsamości:
    • Filtry IP:
    • Odciski palców przeglądarki i urządzenia:
    • Interakcja międzyludzka:
    • Moderacja użytkowników:
    • Analiza behawioralna:
    • Transakcje finansowe:
    • Logowanie za pomocą jakiejś platformy:
    • Rozpoznawanie twarzy na żywo i biometria (ponownie):
    • Ręczne przeglądy:
  • Getting Online:
    • Tworzenie nowych tożsamości:
    • System prawdziwych nazw:
    • Informacje o płatnych usługach:
    • Przegląd:
    • Jak udostępniać pliki lub czatować anonimowo:
    • Bezpieczne redagowanie dokumentów/obrazów/wideo/audio:
    • Przekazywanie poufnych informacji różnym znanym organizacjom:
    • Zadania konserwacyjne:
• Bezpieczne tworzenie kopii zapasowych:
  • Kopie zapasowe offline:
    • Kopie zapasowe wybranych plików:
    • Pełne kopie zapasowe dysku/systemu:
  • Kopie zapasowe online:
    • Pliki:
    • Informacje:
  • Synchronizacja plików między urządzeniami Online:
• Zacieranie śladów:
  • Zrozumienie dysków HDD i SSD:
    • Niwelowanie zużycia.
    • Operacje przycinania:
    • Garbage Collection:
    • Podsumowanie:
  • Jak bezpiecznie wymazać cały laptop/dysk, jeśli chcesz wymazać wszystko:
    • Linux (wszystkie wersje, w tym Qubes OS):
    • Windows:
    • MacOS:
  • Jak bezpiecznie usunąć określone pliki/foldery/dane na dysku HDD/SSD i pendrive'ach:
    • Windows:
    • Linux (bez Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Niektóre dodatkowe środki przeciwko kryminalistyce:
    • Usuwanie metadanych z plików/dokumentów/obrazów:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (non-Qubes):
    • Windows:
  • Usuwanie niektórych śladów tożsamości w wyszukiwarkach i na różnych platformach:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Kilka oldschoolowych sztuczek:
  • Ukryta komunikacja na widoku:
  • Jak wykryć, że ktoś przeszukiwał twoje rzeczy:
• Kilka ostatnich przemyśleń na temat OPSEC:
• Jeśli myślisz, że się sparzyłeś:
  • Jeśli masz trochę czasu:
  • Jeśli nie masz czasu:
• Mała końcowa uwaga redakcyjna

 

[HEISENBERG]

Ograniczenia budżetowe/materiałowe.

• Masz do dyspozycji tylko jednego laptopa i nie możesz sobie pozwolić na nic innego. Używasz tego laptopa do pracy, rodziny lub rzeczy osobistych (lub obu):
  
  • Najlepszą opcją jest wybranie opcji Tails.
• Możesz sobie pozwolić na zapasowy, dedykowany, nienadzorowany / niemonitorowany laptop do wrażliwych działań:
  
  • Ale jest on stary, powolny i ma kiepską specyfikację (mniej niż 6 GB pamięci RAM, mniej niż 250 GB miejsca na dysku, stary/wolny procesor):
    
    • Powinieneś wybrać trasę Tails.
  • Nie jest tak stary i ma przyzwoitą specyfikację (co najmniej 6 GB pamięci RAM, 250 GB miejsca na dysku lub więcej, przyzwoity procesor):
    
    • Możesz wybrać Tails lub Whonix.
  • Jest nowy i ma świetną specyfikację (ponad 8 GB pamięci RAM, >250 GB miejsca na dysku, najnowszy szybki procesor):
    
    • Możesz wybrać dowolną trasę, ale poleciłbym Qubes OS, jeśli twój model zagrożenia na to pozwala.
  • Jeśli jest to komputer M1 Mac z procesorem ARM:
    
    • Obecnie nie jest to możliwe z tych powodów:
      
      • Wirtualizacja obrazów x86 na komputerach ARM M1 Mac jest nadal ograniczona do oprogramowania komercyjnego (Parallels), które nie jest jeszcze obsługiwane przez Whonix.
      • Virtualbox nie jest jeszcze dostępny dla architektury ARM.
      • Whonix nie jest jeszcze obsługiwany na architekturze ARM.
      • Tails nie jest jeszcze obsługiwany na architekturze ARM.
      • Qubes OS nie jest jeszcze obsługiwany na architekturze ARM.

Jedyną opcją na komputerach M1 Mac jest prawdopodobnie pozostanie przy przeglądarce Tor Browses. Ale zgaduję, że jeśli możesz sobie pozwolić na M1 Mac, powinieneś prawdopodobnie kupić dedykowany laptop x86 do bardziej wrażliwych działań.

 

[HEISENBERG]

Umiejętności.

• Nie masz żadnych umiejętności informatycznych, a treść tego przewodnika wygląda dla Ciebie jak obcy język?
  
  • Powinieneś pójść ścieżką Tails (z wyłączeniem sekcji o uporczywym zaprzeczaniu).
• Masz pewne umiejętności informatyczne i do tej pory w większości rozumiesz ten przewodnik
  
  • Powinieneś wybrać ścieżkę Tails (w tym sekcję uporczywego wiarygodnego zaprzeczania) lub Whonix.
• Masz umiarkowane lub wysokie umiejętności informatyczne i jesteś już zaznajomiony z częścią treści tego przewodnika.
  
  • Możesz wybrać cokolwiek chcesz, ale zdecydowanie polecam Qubes OS.
• Jesteś hakerem l33T, "nie ma łyżki", "ciasto to kłamstwo", używasz "doas" od lat i "cała twoja baza należy do nas", i masz silne opinie na temat systemd.
  
  • Ten poradnik nie jest tak naprawdę przeznaczony dla ciebie i nie pomoże ci z twoim HardenedBSD na twoim hartowanym laptopie Libreboot ;-)

 

[HEISENBERG]

Przeciwnicy (zagrożenia).

• Jeśli Twoim głównym zmartwieniem jest badanie kryminalistyczne Twoich urządzeń:
  
  • Powinieneś pójść trasą Tails (z opcjonalnym trwałym wiarygodnym zaprzeczeniem).
• Jeśli Twoim głównym zmartwieniem są zdalni przeciwnicy, którzy mogą odkryć Twoją tożsamość online na różnych platformach:
  
  • Można wybrać ścieżkę Whonix lub Qubes OS.
  • Możesz także wybrać Tails (z opcjonalną trwałą wiarygodną zaprzeczalnością).
• Jeśli koniecznie chcesz mieć możliwość wiarygodnego zaprzeczenia w całym systemie pomimo ryzyka:
  
  • Możesz wybrać ścieżkę Tails, w tym sekcję trwałej wiarygodnej zaprzeczalności.
  • Możesz wybrać Whonix Route (tylko w systemie Windows Host OS w zakresie tego przewodnika).
• Jeśli znajdujesz się we wrogim środowisku, w którym samo korzystanie z Tora/VPN jest niemożliwe/niebezpieczne/podejrzane:
  
  • Możesz wybrać trasę Tails (bez korzystania z Tora).
  • Możesz wybrać trasę Whonix lub Qubes OS (bez faktycznego korzystania z Whonix).

We wszystkich przypadkach powinieneś przeczytać te dwie strony z dokumentacji Whonix, które dadzą ci dogłębny wgląd w twoje wybory:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Być może zadajesz sobie pytanie: "Skąd mam wiedzieć, czy znajduję się we wrogim środowisku online, w którym działania są aktywnie monitorowane i blokowane?".

• Najpierw przeczytaj więcej na ten temat w EFF tutaj: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org].
• Sprawdź niektóre dane na stronie Tor Project OONI (Open Observatory of Network Interference): https://explorer.ooni.org/ [Archive.org].
• Zajrzyj na stronę https://censoredplanet.org/ [Archive.org] i sprawdź, czy mają dane dotyczące twojego kraju.
• Przetestuj sam, korzystając z OONI (może to być ryzykowne w nieprzyjaznym środowisku).

 

[HEISENBERG]

Kroki dla wszystkich ścieżek.

Przyzwyczaj się do używania lepszych haseł.

Patrz Załącznik A2: Wytyczne dotyczące haseł i fraz.

Uzyskaj anonimowy numer telefonu.

Pomiń ten krok, jeśli nie masz zamiaru tworzyć anonimowych kont na większości platform głównego nurtu, ale chcesz tylko anonimowo przeglądać strony lub jeśli platformy, z których będziesz korzystać, umożliwiają rejestrację bez numeru telefonu.

Fizyczny telefon z palnikiem i przedpłacona karta SIM.

Zdobądź telefon z palnikiem.

Jest to dość proste. Pozostaw smartfon wyłączony lub wyłącz go przed wyjściem. Miej trochę gotówki i udaj się na jakiś przypadkowy pchli targ lub do małego sklepu (najlepiej takiego bez monitoringu wewnątrz lub na zewnątrz i unikając fotografowania / filmowania) i po prostu kup najtańszy telefon, jaki możesz znaleźć za gotówkę i bez podawania jakichkolwiek danych osobowych. Telefon musi być tylko sprawny.


Osobiście zalecałbym zakup starego "głupiego telefonu" z wymienną baterią (stara Nokia, jeśli sieci komórkowe nadal pozwalają na połączenie, ponieważ niektóre kraje całkowicie wycofały 1G-2G). Ma to na celu uniknięcie automatycznego wysyłania/gromadzenia jakichkolwiek danych telemetrycznych/diagnostycznych w samym telefonie. Nigdy nie należy podłączać telefonu do sieci Wi-Fi.


Bardzo ważne jest również, aby nigdy nie włączać tego telefonu (nawet bez karty SIM) w żadnej lokalizacji geograficznej, która może prowadzić do ciebie (na przykład w domu / pracy) i nigdy w tej samej lokalizacji, co inny znany smartfon (ponieważ ten ma IMEI / IMSI, który z łatwością doprowadzi do ciebie). Może się to wydawać dużym obciążeniem, ale tak nie jest, ponieważ telefony te są używane tylko podczas procesu konfiguracji / rejestracji i do weryfikacji od czasu do czasu.


Patrz Załącznik N: Ostrzeżenie dotyczące smartfonów i urządzeń inteligentnych


Przed przejściem do następnego kroku należy sprawdzić, czy telefon jest sprawny. Powtórzę się jednak i ponownie stwierdzę, że ważne jest, aby zostawić smartfon w domu (lub wyłączyć go przed wyjazdem, jeśli musisz go zatrzymać) i przetestować telefon w losowym miejscu, którego nie można namierzyć (i ponownie, nie rób tego przed kamerą CCTV, unikaj kamer, bądź świadomy swojego otoczenia). Nie ma też potrzeby korzystania z Wi-Fi w tym miejscu.


Gdy upewnisz się, że telefon jest sprawny, wyłącz Bluetooth, a następnie wyłącz go (wyjmij baterię, jeśli możesz) i wróć do domu, aby wznowić normalne czynności. Przejdź do następnego kroku.

Uzyskaj anonimową przedpłaconą kartę SIM.

To najtrudniejsza część całego przewodnika. Jest to SPOF (pojedynczy punkt awarii). Miejsca, w których nadal można kupić przedpłacone karty SIM bez rejestracji tożsamości, stają się coraz bardziej ograniczone z powodu różnych przepisów typu KYC.


Oto lista miejsc, w których nadal można je kupić: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org].


Powinieneś być w stanie znaleźć miejsce, które jest "niedaleko" i po prostu udać się tam fizycznie, aby kupić kilka kart przedpłaconych i doładować vouchery gotówką. Przed wyjazdem sprawdź, czy nie uchwalono prawa, które nakładałoby obowiązek rejestracji (na wypadek, gdyby powyższa wiki nie była aktualizowana). Staraj się unikać telewizji przemysłowej i kamer i nie zapomnij kupić vouchera doładowującego wraz z kartą SIM (jeśli nie jest to pakiet), ponieważ większość kart pre-paid wymaga doładowania przed użyciem.


Patrz Załącznik N: Ostrzeżenie dotyczące smartfonów i urządzeń inteligentnych


Przed udaniem się do operatora telefonii komórkowej, który sprzedaje przedpłacone karty SIM, należy upewnić się, że akceptuje on aktywację i doładowanie karty SIM bez konieczności rejestracji jakiegokolwiek dokumentu tożsamości. Najlepiej byłoby, gdyby akceptowali aktywację i doładowanie karty SIM z kraju, w którym mieszkasz.


Osobiście poleciłbym GiffGaff w Wielkiej Brytanii, ponieważ są "przystępne cenowo", nie wymagają identyfikacji do aktywacji i doładowania, a nawet pozwalają na zmianę numeru do 2 razy z ich strony internetowej. Jedna przedpłacona karta SIM GiffGaff zapewni zatem 3 numery do wykorzystania na własne potrzeby.


Wyłącz telefon po aktywacji/doładowaniu i przed powrotem do domu. Nigdy nie włączaj go ponownie, chyba że nie znajdujesz się w miejscu, które może zostać wykorzystane do ujawnienia Twojej tożsamości i chyba że smartfon zostanie wyłączony przed udaniem się do tego "nie domowego" miejsca.

Numer telefonu online (mniej zalecane).

ZASTRZEŻENIE: Nie próbuj tego, dopóki nie skonfigurujesz bezpiecznego środowiska zgodnie z jedną z wybranych tras. Ten krok będzie wymagał dostępu online i powinien być wykonywany wyłącznie z anonimowej sieci. Nie rób tego z żadnego znanego/niebezpiecznego środowiska. Pomiń ten krok, dopóki nie ukończysz jednej z tras.


Istnieje wiele komercyjnych usług oferujących numery do odbierania wiadomości SMS online, ale większość z nich nie zapewnia anonimowości/prywatności i nie może być pomocna, ponieważ większość platform mediów społecznościowych nakłada limit na to, ile razy numer telefonu może zostać użyty do rejestracji.


Istnieje kilka forów i subredditów (takich jak r/phoneverification/), na których użytkownicy oferują usługę odbierania takich wiadomości SMS za niewielką opłatą (za pomocą PayPal lub płatności kryptograficznych). Niestety, są one pełne oszustów i bardzo ryzykowne pod względem anonimowości. Pod żadnym pozorem nie należy z nich korzystać.


Do tej pory nie znam żadnej renomowanej usługi, która oferowałaby tę usługę i akceptowała płatności gotówkowe (na przykład pocztą), tak jak niektórzy dostawcy VPN. Istnieje jednak kilka usług zapewniających numery telefonów online i akceptujących Monero, które mogą być w miarę anonimowe (ale mniej zalecane niż ten fizyczny sposób w poprzednim rozdziale), które można rozważyć:

• Zalecane: Nie wymagają żadnej identyfikacji (nawet e-mail):
  
  • (z siedzibą w Wielkiej Brytanii, wydaje się niedostępny w momencie pisania tego tekstu) https://dtmf.io/ [Archive.org] preferowane, ponieważ zapewniają nawet ukryty adres usługi onion dla bezpośredniego dostępu przez sieć Tor pod adresem http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/
  • (z siedzibą w Islandii) https://crypton.sh [Archive.org]
  • (z siedzibą na Ukrainie) https://virtualsim.net/ [Archive.org].
• Wymagają identyfikacji (ważny adres e-mail):
  
  • (Niemcy) https://www.sms77.io/ [Archive.org]
  • (Rosja) https://onlinesim.ru/ [Archive.org]

Istnieje kilka innych możliwości wymienionych tutaj https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Korzystaj na własne ryzyko.


ZASTRZEŻENIE: Nie mogę ręczyć za żadnego z tych dostawców, dlatego nadal zalecam zrobienie tego fizycznie. W takim przypadku będziesz musiał polegać na anonimowości Monero i nie powinieneś korzystać z żadnej usługi, która wymaga jakiejkolwiek identyfikacji przy użyciu Twojej prawdziwej tożsamości. Prosimy o zapoznanie się z zastrzeżeniami dotyczącymi Monero.


Dlatego IMHO, prawdopodobnie wygodniej, taniej i mniej ryzykownie jest po prostu kupić przedpłaconą kartę SIM w jednym z fizycznych miejsc, które nadal sprzedają je za gotówkę bez konieczności rejestracji tożsamości. Ale przynajmniej istnieje alternatywa, jeśli nie masz innego wyjścia.

Klucz USB.

Zaopatrz się w co najmniej jeden lub dwa przyzwoitej wielkości klucze USB (co najmniej 16 GB, ale polecam 32 GB).


Nie kupuj ani nie używaj sztuczek z urządzeniami samoszyfrującymi, takimi jak te: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Niektóre mogą być bardzo skuteczne, ale wiele z nich to gadżety, które nie oferują żadnej realnej ochrony.

Znajdź bezpieczne miejsca z przyzwoitą publiczną siecią Wi-Fi.

Musisz znaleźć bezpieczne miejsca, w których będziesz mógł wykonywać swoje wrażliwe działania, korzystając z publicznie dostępnej sieci Wi-Fi (bez rejestracji konta / identyfikatora, unikając kamer CCTV).


Może to być dowolne miejsce, które nie będzie bezpośrednio związane z użytkownikiem (dom/praca) i gdzie można przez chwilę korzystać z Wi-Fi bez obaw. Ale także miejsce, w którym można to zrobić bez bycia "zauważonym" przez kogokolwiek.


Jeśli uważasz, że Starbucks to dobry pomysł, możesz to przemyśleć:

• Prawdopodobnie mają kamery przemysłowe we wszystkich swoich sklepach i przechowują te nagrania przez nieznany czas.
• Aby uzyskać kod dostępu do Wi-Fi w większości z nich, należy kupić kawę. Jeśli zapłacisz za kawę metodą elektroniczną, będą w stanie powiązać twój dostęp do Wi-Fi z twoją tożsamością.

Świadomość sytuacyjna jest kluczowa i powinieneś być stale świadomy swojego otoczenia i unikać miejsc turystycznych, jakby były nękane przez Ebolę. Chcesz uniknąć pojawienia się na jakimkolwiek zdjęciu / filmie, gdy ktoś robi selfie, nagrywa wideo TikTok lub publikuje zdjęcia z podróży na swoim Instagramie. Jeśli to zrobisz, pamiętaj, że istnieje duże prawdopodobieństwo, że te zdjęcia trafią do Internetu (publicznie lub prywatnie) z dołączonymi do nich pełnymi metadanymi (czas/data/geolokalizacja) i Twoją twarzą. Pamiętaj, że mogą one być i będą indeksowane przez Facebook/Google/Yandex/Apple i prawdopodobnie wszystkie 3 agencje listowe.


Chociaż nie będzie to jeszcze dostępne dla lokalnych funkcjonariuszy policji, może to nastąpić w najbliższej przyszłości.


Idealnie byłoby potrzebować zestawu 3-5 różnych miejsc takich jak to, aby uniknąć korzystania z tego samego miejsca dwa razy. W ciągu kilku tygodni konieczne będzie odbycie kilku podróży w celu wykonania różnych kroków opisanych w tym przewodniku.


Można również rozważyć połączenie się z tymi miejscami z bezpiecznej odległości, aby zwiększyć bezpieczeństwo. Patrz Załącznik Q: Używanie anteny dalekiego zasięgu do łączenia się z publiczną siecią Wi-Fi z bezpiecznej odległości.

 

[HEISENBERG]

Trasa Tails.

Ta część przewodnika pomoże ci skonfigurować Tails, jeśli jedna z poniższych informacji jest prawdziwa:

• Nie stać Cię na dedykowany laptop
• Twój dedykowany laptop jest po prostu zbyt stary i zbyt wolny
• Masz bardzo niskie umiejętności informatyczne
• I tak zdecydujesz się na Tails

Tails to skrót od The Amnesic Incognito Live System. Jest to bootowalny system operacyjny Live działający z klucza USB, który został zaprojektowany tak, aby nie pozostawiać żadnych śladów i wymuszać wszystkie połączenia przez sieć Tor.


Wystarczy włożyć klucz USB Tails do laptopa, uruchomić z niego komputer i już mamy pełny system operacyjny działający z myślą o prywatności i anonimowości. Jak tylko wyłączysz komputer, wszystko zniknie, chyba że gdzieś je zapisałeś.


Tails to bardzo łatwy sposób na szybkie rozpoczęcie pracy z tym, co masz i bez konieczności uczenia się. Posiada obszerną dokumentację i samouczki.


OSTRZEŻENIE: Tails nie zawsze jest aktualny z dołączonym oprogramowaniem. Nie zawsze też jest na bieżąco z aktualizacjami przeglądarki Tor. Powinieneś zawsze upewnić się, że korzystasz z najnowszej wersji Tails i powinieneś zachować szczególną ostrożność podczas korzystania z dołączonych aplikacji w Tails, które mogą być podatne na exploity i ujawniać twojąlokalizację265.


Tails ma jednak pewne wady:

• Tails korzysta z Tora, a zatem będziesz używać Tora, aby uzyskać dostęp do dowolnego zasobu w Internecie. Samo to sprawi, że będziesz podejrzany dla większości platform, na których chcesz tworzyć anonimowe konta (zostanie to wyjaśnione bardziej szczegółowo później).
• Twój dostawca usług internetowych (niezależnie od tego, czy jest to twoje, czy publiczne Wi-Fi) również zobaczy, że używasz Tora, co samo w sobie może sprawić, że będziesz podejrzany.
• Tails nie zawiera (natywnie) niektórych programów, których możesz chcieć użyć później, co skomplikuje sprawę, jeśli chcesz uruchomić określone rzeczy (na przykład emulatory Androida).
• Tails korzysta z przeglądarki Tor, która choć jest bardzo bezpieczna, będzie również wykrywana przez większość platform i utrudni tworzenie anonimowych tożsamości na wielu platformach.
• Tails nie ochroni cię bardziej przed kluczem 5$8.
• Tor sam w sobie może nie wystarczyć do ochrony przed przeciwnikiem z wystarczającymi zasobami, jak wyjaśniono wcześniej.

Ważna uwaga: Jeśli twój laptop jest monitorowany/nadzorowany i istnieją pewne lokalne ograniczenia, przeczytaj Dodatek U: Jak ominąć (niektóre) lokalne ograniczenia na nadzorowanych komputerach.


Powinieneś także przeczytać dokumentację Tails, ostrzeżenia i ograniczenia, zanim przejdziesz dalej https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org].


Biorąc to wszystko pod uwagę oraz fakt, że ich dokumentacja jest świetna, po prostu przekieruję cię do ich dobrze wykonanego i dobrze utrzymanego samouczka:


https://tails.boum.org/install/index.en.html [Archive.org], wybierz swój smak i kontynuuj.


Gdy skończysz i będziesz mieć działającego Tailsa na swoim laptopie, przejdź do kroku Tworzenie anonimowej tożsamości online w dalszej części tego przewodnika.


Jeśli masz problem z dostępem do Tora z powodu cenzury lub innych problemów, możesz spróbować użyć Tor Bridges, postępując zgodnie z tym samouczkiem Tails: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive. org] i znaleźć więcej informacji na ten temat w Dokumentacji Tora https://2019.www.torproject.org/docs/bridges [Archive.org].


Jeśli uważasz, że korzystanie z samego Tora jest niebezpieczne/podejrzane, zobacz Dodatek P: Uzyskiwanie dostępu do Internetu tak bezpiecznie, jak to możliwe, gdy Tor/VPN nie jest opcją

 

[HEISENBERG]

Persistent Plausible Deniability przy użyciu Whonix w Tails.

Rozważ sprawdzenie projektu https://github.com/aforensics/HiddenVM [Archive.org] dla Tails.


Projekt ten jest sprytnym pomysłem na samodzielne rozwiązanie maszyny wirtualnej za jednym kliknięciem, które można przechowywać na zaszyfrowanym dysku przy użyciu wiarygodnego zaprzeczenia256 (zobacz The Whonix route: pierwsze rozdziały, a także kilka wyjaśnień na temat wiarygodnego zaprzeczenia, a także Jak bezpiecznie usunąć określone pliki/foldery/dane z dysku HDD/SSD i dysków Thumb: sekcja na końcu tego przewodnika, aby uzyskać więcej informacji).


Pozwoliłoby to na stworzenie systemu hybrydowego łączącego Tails z opcjami wirtualizacji trasy Whonix w tym przewodniku.

Uwaga: Zobacz Wybieranie metody łączności w Whonix Route, aby uzyskać więcej wyjaśnień na temat Stream Isolation.


W skrócie:

• Można uruchomić nietrwałe Tails z jednego klucza USB (zgodnie z ich zaleceniami).
• Można przechowywać trwałe maszyny wirtualne w dodatkowym kontenerze, który może być szyfrowany normalnie lub przy użyciu funkcji wiarygodnego zaprzeczenia Veracrypt (mogą to być na przykład maszyny wirtualne Whonix lub inne).
• Korzystasz z dodanej funkcji Tor Stream Isolation (zobacz Tor over VPN, aby uzyskać więcej informacji na temat izolacji strumieni).

W takim przypadku, zgodnie z założeniami projektu, nie powinno być żadnych śladów jakichkolwiek działań na komputerze, a wrażliwa praca może być wykonywana z maszyn wirtualnych przechowywanych w ukrytym kontenerze, który nie powinien być łatwy do wykrycia przez miękkiego przeciwnika.


Ta opcja jest szczególnie interesująca w przypadku "lekkich podróży" i łagodzenia ataków kryminalistycznych przy jednoczesnym zachowaniu trwałości pracy. Potrzebne są tylko 2 klucze USB (jeden z Tails i jeden z kontenerem Veracrypt zawierającym trwały Whonix). Pierwszy klucz USB będzie wyglądał na zawierający tylko Tails, a drugi USB będzie wyglądał na zawierający tylko losowe śmieci, ale będzie miał wolumin wabika, który można pokazać w celu wiarygodnego zaprzeczenia.


Można się również zastanawiać, czy spowoduje to konfigurację "Tor over Tor", ale tak nie będzie. Maszyny wirtualne Whonix będą uzyskiwać dostęp do sieci bezpośrednio przez clearnet, a nie przez Tails Onion Routing.


W przyszłości może to być również obsługiwane przez sam projekt Whonix, jak wyjaśniono tutaj: https://www.whonix.org/wiki/Whonix-Host [Archive.org], ale na razie nie jest to zalecane dla użytkowników końcowych.


Należy pamiętać, że szyfrowanie z wiarygodnym zaprzeczeniem lub bez niego nie jest srebrną kulą i będzie mało przydatne w przypadku tortur. W rzeczywistości, w zależności od tego, kim byłby twój przeciwnik (twój model zagrożenia), rozsądnie byłoby w ogóle nie używać Veracrypt (dawniej TrueCrypt), jak pokazano w tej demonstracji: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Wiarygodne zaprzeczanie jest skuteczne tylko przeciwko miękkim, legalnym przeciwnikom, którzy nie będą uciekać się do środków fizycznych.


Zobacz https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


UWAGA: Jeśli rozważasz przechowywanie takich ukrytych maszyn wirtualnych na zewnętrznym dysku SSD, zapoznaj się z Dodatkiem K: Rozważania dotyczące korzystania z zewnętrznych dysków SSD i sekcjami Zrozumienie dysków HDD i SSD:

• Nie używaj ukrytych woluminów na dyskach SSD, ponieważ nie jest to obsługiwane/zalecane przez Veracrypt.
• Zamiast tego należy używać kontenerów plików zamiast zaszyfrowanych woluminów.
• Upewnij się, że wiesz, jak prawidłowo wyczyścić dane z zewnętrznego dysku SSD.

Oto mój przewodnik, jak to osiągnąć:

Pierwsze uruchomienie.

• Pobierz najnowsze wydanie HiddenVM ze strony https://github.com/aforensics/HiddenVM/releases [Archive.org]
• Pobierz najnowszą wersję Whonix XFCE z https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Przygotuj klucz/dysk USB za pomocą Veracrypt
  
  • Utwórz ukryty wolumin na dysku USB/kluczu (zalecałbym co najmniej 16 GB na ukryty wolumin).
  • W woluminie zewnętrznym umieść kilka plików wabików.
  • W ukrytym woluminie umieść plik obrazu aplikacji HiddenVM.
  • W ukrytym woluminie umieść plik Whonix XFCE ova.
• Rozruch do Tails
• Skonfiguruj układ klawiatury według własnego uznania.
• Wybierz Dodatkowe ustawienia i ustaw hasło administratora (root) (potrzebne do instalacji HiddenVM).
• Uruchom Tails
• Połącz się z bezpiecznym Wi-Fi (ten krok jest wymagany, aby reszta działała).
• Przejdź do Narzędzia i Odblokuj (ukryty) wolumin Veracrypt (nie zapomnij zaznaczyć pola wyboru ukrytego woluminu).
• Uruchom obraz aplikacji HiddenVM
• Po wyświetleniu monitu o wybranie folderu wybierz katalog główny ukrytego woluminu (gdzie znajdują się pliki obrazu Whonix OVA i aplikacji HiddenVM).
• Pozwól mu wykonać swoje zadanie (Zasadniczo spowoduje to zainstalowanie Virtualbox w Tails za pomocą jednego kliknięcia).
• Po zakończeniu powinien automatycznie uruchomić Virtualbox Manager.
• Zaimportuj pliki OVA Whonix (zobacz Wirtualne maszyny Whonix).

Uwaga: jeśli podczas importu występują problemy, takie jak "NS_ERROR_INVALID_ARG (0x80070057)", jest to prawdopodobnie spowodowane niewystarczającą ilością miejsca na dysku na woluminie ukrytym dla Whonix. Firma Whonix zaleca 32 GB wolnego miejsca, ale prawdopodobnie nie jest to konieczne i na początek powinno wystarczyć 10 GB. Możesz spróbować obejść ten błąd, zmieniając nazwę pliku Whonix *.OVA na *.TAR i dekompresując go w Tails. Po zakończeniu dekompresji usuń plik OVA i zaimportuj pozostałe pliki za pomocą kreatora importu. Tym razem może się udać.

Kolejne uruchomienia.

• Uruchamianie w Tails
• Połącz się z Wi-Fi
• Odblokuj ukryty wolumin
• Uruchom aplikację HiddenVM
• Powinno to automatycznie otworzyć menedżera VirtualBox i pokazać poprzednie maszyny wirtualne od pierwszego uruchomienia.

 

[HEISENBERG]

Kroki dla wszystkich pozostałych ścieżek.

Uzyskaj dedykowany laptop do swoich wrażliwych działań.

Idealnym rozwiązaniem byłoby uzyskanie dedykowanego laptopa, który nie będzie powiązany z Tobą w żaden łatwy sposób (najlepiej opłacony anonimowo gotówką i przy użyciu tych samych środków ostrożności, jak wcześniej wspomniano o telefonie i karcie SIM). Jest to zalecane, ale nie obowiązkowe, ponieważ ten przewodnik pomoże ci wzmocnić laptopa tak bardzo, jak to możliwe, aby zapobiec wyciekom danych na różne sposoby. Będzie kilka linii obrony stojących między twoją tożsamością online a tobą, które powinny uniemożliwić większości przeciwników deanonimizację ciebie, z wyjątkiem podmiotów państwowych / globalnych ze znacznymi zasobami.


Ten laptop powinien być idealnie czystym, świeżo zainstalowanym laptopem (z systemem Windows, Linux lub MacOS), wolnym od codziennych czynności i offline (nigdy jeszcze nie podłączonym do sieci). W przypadku laptopa z systemem Windows i jeśli korzystałeś z niego przed taką czystą instalacją, nie powinien on być również aktywowany (ponownie zainstalowany bez klucza produktu). W szczególności w przypadku MacBooków, nigdy wcześniej nie powinien być w żaden sposób powiązany z twoją tożsamością. Kupuj więc używane za gotówkę od nieznanej osoby, która nie zna Twojej tożsamości


Ma to na celu złagodzenie niektórych przyszłych problemów w przypadku wycieków online (w tym telemetrii z systemu operacyjnego lub aplikacji), które mogłyby narazić na szwank wszelkie unikalne identyfikatory laptopa podczas korzystania z niego (adres MAC, adres Bluetooth i klucz produktu ...). Ale także, aby uniknąć śledzenia w przypadku konieczności pozbycia się laptopa.


Jeśli laptop był wcześniej używany do różnych celów (np. codziennych czynności), wszystkie jego identyfikatory sprzętowe są prawdopodobnie znane i zarejestrowane przez Microsoft lub Apple. Jeśli później którykolwiek z tych identyfikatorów zostanie naruszony (przez złośliwe oprogramowanie, telemetrię, exploity, błędy ludzkie ...), mogą one prowadzić z powrotem do Ciebie.


Laptop powinien mieć co najmniej 250 GB miejsca na dysku , co najmniej 6 GB (najlepiej 8 GB lub 16 GB) pamięci RAM i powinien być w stanie uruchomić kilka maszyn wirtualnych w tym samym czasie. Powinien mieć działającą baterię, która wytrzyma kilka godzin.


Laptop może być wyposażony w dysk HDD (7200 obr./min) lub SSD/NVMe. Obie możliwości mają swoje zalety i wady, które zostaną szczegółowo opisane później.


Wszystkie przyszłe czynności online wykonywane za pomocą tego laptopa powinny być wykonywane z bezpiecznej sieci, takiej jak publiczne Wi-Fi w bezpiecznym miejscu (patrz Znajdź bezpieczne miejsca z przyzwoitym publicznym Wi-Fi). Ale kilka kroków trzeba będzie najpierw wykonać offline.

 

[HEISENBERG]

Kilka zaleceń dotyczących laptopów.

Jeśli możesz sobie na to pozwolić, możesz rozważyć zakup laptopa Purism Librem(https://puri.sm [ Archive . org]) lub System76(https://system76.com/ [Archive.org]) podczas korzystania z Coreboot (gdzie Intel IME jest fabrycznie wyłączony).


W innych przypadkach zdecydowanie zalecałbym zakup laptopów klasy biznesowej (co oznacza, że nie są to laptopy konsumenckie / do gier), jeśli możesz. Na przykład niektóre ThinkPady od Lenovo (mój osobisty faworyt). Oto lista laptopów obsługujących obecnie Libreboot i innych, w których można samodzielnie sflashować Coreboot (co pozwoli wyłączyć Intel IME lub AMD PSP):

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Wynika to z faktu, że te laptopy biznesowe zwykle oferują lepsze i bardziej konfigurowalne funkcje bezpieczeństwa (zwłaszcza w ustawieniach BIOS / UEFI) z dłuższym wsparciem niż większość laptopów konsumenckich (Asus, MSI, Gigabyte, Acer ...). Interesujące funkcje, których należy szukać, to IMHO:

• lepsze niestandardowe ustawienia Secure Boot (gdzie można selektywnie zarządzać wszystkimi kluczami, a nie tylko używać standardowych)
• Hasła HDD/SSD oprócz haseł BIOS/UEFI.
• Laptopy AMD mogą być bardziej interesujące, ponieważ niektóre zapewniają możliwość domyślnego wyłączenia AMD PSP (odpowiednik Intel IME) w ustawieniach BIOS/UEFI. A ponieważ AFAIK, AMD PSP zostało poddane audytowi i w przeciwieństwie do IME nie stwierdzono żadnych "złych" funkcji. Jeśli jednak decydujesz się na Qubes OS Route, rozważ Intela, ponieważ nie wspiera on AMD z ich systemem anti-evil-maid.
• Narzędzia Secure Wipe z BIOS-u (szczególnie przydatne w przypadku dysków SSD/NVMe, patrz Dodatek M: Opcje BIOS/UEFI do czyszczenia dysków w różnych markach).
• Lepsza kontrola nad wyłączaniem/włączaniem wybranych urządzeń peryferyjnych (porty USB, Wi-Fi, Bluetooth, kamera, mikrofon...).
• Lepsze funkcje bezpieczeństwa dzięki wirtualizacji.
• Natywne zabezpieczenia antysabotażowe.
• Dłuższe wsparcie dla aktualizacji BIOS/UEFI (i kolejnych aktualizacji zabezpieczeń BIOS/UEFI).
• Niektóre z nich są obsługiwane przez Libreboot

 

[HEISENBERG]

Ustawienia Bios/UEFI/Firmware laptopa.

PC.

Dostęp do tych ustawień można uzyskać za pośrednictwem menu rozruchowego laptopa. Oto dobry samouczek od HP wyjaśniający wszystkie sposoby dostępu do BIOS-u na różnych komputerach: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Zazwyczaj, aby uzyskać do niego dostęp, należy nacisnąć określony klawisz (F1, F2 lub Del) podczas uruchamiania systemu (przed systemem operacyjnym).


Po wejściu do BIOS-u należy zastosować kilka zalecanych ustawień:

• Całkowicie wyłącz Bluetooth, jeśli możesz.
• Wyłącz biometrię (skanery linii papilarnych), jeśli masz, jeśli możesz. Możesz jednak dodać dodatkową kontrolę biometryczną tylko do uruchamiania (przed uruchomieniem), ale nie do uzyskiwania dostępu do ustawień BIOS/UEFI.
• Wyłącz kamerę internetową i mikrofon, jeśli możesz.
• Włącz hasło BIOS/UEFI i użyj długiego hasła zamiast hasła (jeśli możesz) i upewnij się, że to hasło jest wymagane:
  
  • Dostęp do samych ustawień BIOS/UEFI
  • Zmiana kolejności rozruchu
  • Uruchamianie/włączanie urządzenia
• Włącz hasło HDD/SSD, jeśli ta funkcja jest dostępna. Ta funkcja doda kolejne hasło na samym dysku HDD/SSD (nie w oprogramowaniu układowym BIOS/UEFI), które uniemożliwi użycie tego dysku HDD/SSD w innym komputerze bez hasła. Należy pamiętać, że ta funkcja jest również specyficzna dla niektórych producentów i może wymagać specjalnego oprogramowania do odblokowania tego dysku z zupełnie innego komputera.
• Jeśli to możliwe, należy uniemożliwić dostęp do opcji rozruchu (kolejności rozruchu) bez podania hasła BIOS/UEFI.
• Wyłącz USB/HDMI lub jakikolwiek inny port (Ethernet, Firewire, karta SD ...), jeśli możesz.
• Wyłącz Intel ME, jeśli możesz.
• Wyłącz AMD PSP, jeśli możesz (odpowiednik IME AMD, patrz Twój procesor).
• Wyłącz Secure Boot, jeśli zamierzasz używać QubesOS, ponieważ nie obsługuje go po wyjęciu z pudełka. Pozostaw je włączone, jeśli zamierzasz korzystać z systemu Linux/Windows.
• Sprawdź, czy BIOS laptopa ma opcję bezpiecznego wymazywania dysku HDD/SSD, która może być wygodna w razie potrzeby.

Włączaj je tylko w razie potrzeby i wyłączaj ponownie po użyciu. Może to pomóc złagodzić niektóre ataki w przypadku przejęcia laptopa, gdy jest zablokowany, ale nadal włączony LUB jeśli musiałeś go wyłączyć dość szybko i ktoś wszedł w jego posiadanie (ten temat zostanie wyjaśniony w dalszej części tego przewodnika).

O bezpiecznym rozruchu.

Czym jest Secure Boot? Krótko mówiąc, jest to funkcja zabezpieczeń UEFI zaprojektowana w celu uniemożliwienia komputerowi uruchomienia systemu operacyjnego, z którego bootloader nie został podpisany określonymi kluczami przechowywanymi w oprogramowaniu układowym UEFI laptopa.


Zasadniczo, jeśli system operacyjny (lub bootloader) obsługuje tę funkcję, można zapisać klucze bootloadera w oprogramowaniu układowym UEFI, co uniemożliwi uruchomienie nieautoryzowanego systemu operacyjnego (takiego jak Live OS USB lub coś podobnego).


Ustawienia Secure Boot są chronione hasłem skonfigurowanym w celu uzyskania dostępu do ustawień BIOS/UEFI. Jeśli masz to hasło, możesz wyłączyć Secure Boot i zezwolić na uruchamianie niepodpisanych systemów operacyjnych w systemie. Może to pomóc złagodzić niektóre ataki Evil-Maid (wyjaśnione w dalszej części tego przewodnika).


W większości przypadków Secure Boot jest domyślnie wyłączony lub włączony, ale w trybie "setup", który pozwala na uruchomienie dowolnego systemu. Aby Secure Boot działał, system operacyjny musi go obsługiwać, a następnie podpisać swój bootloader i przesłać te klucze podpisujące do oprogramowania układowego UEFI. Następnie należy przejść do ustawień BIOS/UEFI i zapisać te klucze z systemu operacyjnego oraz zmienić tryb Secure Boot z konfiguracji na tryb użytkownika (lub w niektórych przypadkach tryb niestandardowy).


Po wykonaniu tego kroku tylko systemy operacyjne, z których oprogramowanie układowe UEFI może zweryfikować integralność programu ładującego, będą mogły się uruchomić.


Większość laptopów ma już zapisane domyślne klucze w ustawieniach bezpiecznego rozruchu. Zazwyczaj pochodzą one od samego producenta lub niektórych firm, takich jak Microsoft. Oznacza to, że domyślnie zawsze będzie można uruchomić niektóre dyski USB nawet z bezpiecznym rozruchem. Należą do nich Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla i wiele innych. Secure Boot nie jest jednak w tym momencie w ogóle obsługiwany przez QubesOS.


W niektórych laptopach możesz zarządzać tymi kluczami i usuwać te, których nie chcesz, za pomocą "trybu niestandardowego", aby autoryzować tylko własny bootloader, który możesz podpisać samodzielnie, jeśli naprawdę chcesz.


Przed czym więc chroni Secure Boot? Chroni laptopa przed uruchamianiem niepodpisanych programów ładujących (przez dostawcę systemu operacyjnego), na przykład z wstrzykniętym złośliwym oprogramowaniem.


Przed czym Secure Boot nie chroni?

• Secure Boot nie szyfruje dysku i przeciwnik nadal może po prostu wyjąć dysk z laptopa i wyodrębnić z niego dane przy użyciu innego komputera. Secure Boot jest zatem bezużyteczny bez pełnego szyfrowania dysku.
• Secure Boot nie chroni użytkownika przed podpisanym bootloaderem, który zostałby skompromitowany i podpisany przez samego producenta (na przykład Microsoft w przypadku Windows). Większość popularnych dystrybucji Linuksa jest obecnie podpisana i będzie uruchamiać się z włączonym Secure Boot.
• Secure Boot może mieć wady i exploity, jak każdy inny system. Jeśli używasz starego laptopa, który nie korzysta z nowych aktualizacji BIOS/UEFI, mogą one pozostać nienaprawione.

Ponadto istnieje szereg ataków, które mogą być możliwe przeciwko Secure Boot, jak wyjaśniono (dogłębnie) w tych filmach technicznych:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious].

Może więc być przydatny jako dodatkowy środek przeciwko niektórym przeciwnikom, ale nie wszystkim. Secure Boot sam w sobie nie szyfruje dysku twardego. Jest to dodatkowa warstwa, ale to wszystko.


Nadal zalecam pozostawienie go włączonego, jeśli możesz.

Mac.

Poświęć chwilę na ustawienie hasła oprogramowania układowego zgodnie z samouczkiem tutaj: https://support.apple.com/en-au/HT204455 [Archive.org].


Powinieneś także włączyć ochronę przed resetowaniem hasła oprogramowania układowego (dostępną w Catalina) zgodnie z dokumentacją tutaj: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].


Ta funkcja ograniczy możliwość korzystania przez niektórych przeciwników z hacków sprzętowych w celu wyłączenia / obejścia hasła oprogramowania układowego. Należy pamiętać, że uniemożliwi to również Apple dostęp do oprogramowania układowego w przypadku naprawy.

 

[HEISENBERG]

Fizyczna ochrona laptopa.

W pewnym momencie nieuchronnie zostawisz tego laptopa gdzieś samego. Nie będziesz z nim spać i zabierać go wszędzie każdego dnia. Powinieneś maksymalnie utrudnić komukolwiek manipulowanie przy nim bez zauważenia tego. Jest to przydatne głównie przeciwko ograniczonym przeciwnikom, którzy nie użyją przeciwko tobie klucza za 5 dolarów.


Ważne jest, aby wiedzieć, że dla niektórych specjalistów jest banalnie łatwo zainstalować rejestrator kluczy w laptopie lub po prostu wykonać kopię klonową dysku twardego, która może później pozwolić im wykryć obecność zaszyfrowanych danych za pomocą technik kryminalistycznych (więcej na ten temat później).


Oto dobry i tani sposób na zabezpieczenie laptopa przed manipulacją przy użyciu lakieru do paznokci (z brokatem) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (ze zdjęciami).


Chociaż jest to dobra tania metoda, może również wzbudzić podejrzenia, ponieważ jest dość "zauważalna" i może po prostu ujawnić, że "masz coś do ukrycia". Istnieją więc bardziej subtelne sposoby na osiągnięcie tego samego rezultatu. Można też na przykład zrobić bliskie zdjęcie makro tylnych śrub laptopa lub po prostu użyć bardzo małej ilości wosku ze świecy w jednej ze śrub, która może po prostu wyglądać jak zwykły brud. Następnie można sprawdzić, czy nie doszło do manipulacji, porównując zdjęcia śrub z nowymi. Ich orientacja mogła się nieco zmienić, jeśli przeciwnik nie był wystarczająco ostrożny (dokręcając je dokładnie tak samo, jak wcześniej). Lub wosk w dolnej części łba śruby mógł zostać uszkodzony w porównaniu do poprzedniego.

Te same techniki można zastosować w przypadku portów USB, gdzie wystarczy umieścić niewielką ilość wosku świecowego we wtyczce, która zostanie uszkodzona przez włożenie do niej klucza USB.


W bardziej ryzykownych środowiskach należy sprawdzać laptopa pod kątem manipulacji przed jego regularnym używaniem.

 

[HEISENBERG]

Trasa Whonix.

Wybór systemu operacyjnego hosta (system operacyjny zainstalowany na laptopie).

Ta trasa będzie szeroko wykorzystywać maszyny wirtualne, które będą wymagać systemu operacyjnego hosta do uruchomienia oprogramowania do wirtualizacji. W tej części przewodnika dostępne są 3 zalecane opcje:

• Wybrana dystrybucja Linuksa (z wyłączeniem Qubes OS)
• Windows 10 (najlepiej Home Edition ze względu na brak Bitlockera)
• MacOS (Catalina lub wyższy)

Ponadto istnieje duże prawdopodobieństwo, że komputer Mac jest lub był powiązany z kontem Apple (w momencie zakupu lub po zalogowaniu), a zatem jego unikalne identyfikatory sprzętowe mogą prowadzić do użytkownika w przypadku wycieku identyfikatorów sprzętowych.


Linux niekoniecznie jest najlepszym wyborem dla zachowania anonimowości w zależności od modelu zagrożeń. Wynika to z faktu, że korzystanie z systemu Windows pozwoli nam wygodnie korzystać z Plausible Deniability (aka Deniable Encryption) na poziomie systemu operacyjnego. Windows jest również niestety jednocześnie koszmarem prywatności, ale jest jedyną (wygodną) opcją korzystania z wiarygodnego zaprzeczenia na poziomie systemu operacyjnego. Telemetria i blokowanie telemetrii w systemie Windows są również szeroko udokumentowane, co powinno złagodzić wiele problemów.


Czym więc jest Plausible Deniability? Jest to zdolność do współpracy z przeciwnikiem żądającym dostępu do urządzenia/danych bez ujawniania prawdziwego sekretu. Wszystko to przy użyciu szyfrowania zaprzeczalnego.


Miękki, zgodny z prawem przeciwnik może poprosić o zaszyfrowane hasło do laptopa. Na początku mógłbyś odmówić podania jakiegokolwiek hasła (korzystając z "prawa do zachowania milczenia", "prawa do nieobciążania siebie"), ale niektóre kraje wdrażają przepisy wyłączające to z takich praw (ponieważ terroryści i "myślą o dzieciach"). W takim przypadku możesz być zmuszony do ujawnienia hasła lub grozi ci kara więzienia za obrazę sądu. W tym miejscu w grę wchodzi wiarygodne zaprzeczenie.


Można wtedy ujawnić hasło, ale da ono dostęp tylko do "wiarygodnych danych" (wabik systemu operacyjnego). Śledczy będą świadomi, że możliwe jest ukrycie danych, ale nie powinni być w stanie tego udowodnić (jeśli zrobisz to dobrze). Będziesz współpracował, a śledczy będą mieli dostęp do czegoś, ale nie do tego, co faktycznie chcesz ukryć. Ponieważ ciężar dowodu powinien leżeć po ich stronie, nie będą mieli innego wyjścia, jak tylko ci uwierzyć, chyba że będą mieli dowód na to, że masz ukryte dane.


Ta funkcja może być używana na poziomie systemu operacyjnego (wiarygodny system operacyjny i ukryty system operacyjny) lub na poziomie plików, gdzie będziesz mieć zaszyfrowany kontener plików (podobny do pliku zip), w którym różne pliki będą wyświetlane w zależności od użytego hasła szyfrowania.


Oznacza to również, że możesz skonfigurować własną zaawansowaną konfigurację "wiarygodnego zaprzeczenia" przy użyciu dowolnego systemu operacyjnego hosta, przechowując na przykład maszyny wirtualne w kontenerze ukrytego woluminu Veracrypt (uważaj na ślady w systemie operacyjnym hosta, które będą musiały zostać wyczyszczone, jeśli system operacyjny hosta jest trwały, zobacz sekcję Niektóre dodatkowe środki przeciwko kryminalistyce w dalszej części). Istnieje projekt umożliwiający osiągnięcie tego w Tails(https://github.com/aforensics/HiddenVM [Archive.org]), który sprawiłby, że system operacyjny hosta nie byłby trwały i używałby wiarygodnego zaprzeczenia w Tails.


W przypadku systemu Windows, wiarygodne zaprzeczenie jest również powodem, dla którego najlepiej jest mieć system Windows 10 Home (a nie Pro). Wynika to z faktu, że Windows 10 Pro natywnie oferuje system szyfrowania pełnych dysków (Bitlocker), podczas gdy Windows 10 Home w ogóle nie oferuje szyfrowania pełnych dysków. Później użyjemy oprogramowania open-source innej firmy do szyfrowania, które pozwoli na pełne szyfrowanie dysku w systemie Windows 10 Home. Da ci to dobrą (wiarygodną) wymówkę do korzystania z tego oprogramowania. Używanie tego oprogramowania w systemie Windows 10 Pro byłoby podejrzane.


Uwaga dotycząca systemu Linux: A co z Linuksem i wiarygodnym zaprzeczeniem? Tak, możliwe jest osiągnięcie wiarygodnego zaprzeczenia również w systemie Linux. Jest to jednak skomplikowane do skonfigurowania i IMHO wymaga na tyle wysokiego poziomu umiejętności, że prawdopodobnie nie potrzebujesz tego przewodnika, aby pomóc ci spróbować.


Niestety, szyfrowanie to nie magia i wiąże się z nim pewne ryzyko:

Zagrożenia związane z szyfrowaniem.

The 5$ Wrench.

Pamiętaj, że szyfrowanie z wiarygodnym zaprzeczeniem lub bez niego nie jest srebrną kulą i będzie mało przydatne w przypadku tortur. W rzeczywistości, w zależności od tego, kim byłby twój przeciwnik (twój model zagrożenia), rozsądnie byłoby w ogóle nie używać Veracrypt (dawniej TrueCrypt), jak pokazano w tej demonstracji: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Wiarygodne zaprzeczanie jest skuteczne tylko przeciwko miękkim, praworządnym przeciwnikom, którzy nie będą uciekać się do środków fizycznych. Unikaj, jeśli to możliwe, korzystania z oprogramowania umożliwiającego wiarygodne zaprzeczenie (takiego jak Veracrypt), jeśli twój model zagrożenia obejmuje twardych przeciwników. Dlatego użytkownicy systemu Windows powinni w takim przypadku zainstalować system Windows Pro jako system operacyjny hosta i zamiast tego używać Bitlockera.


Zobacz https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Atak Evil-Maid.

Ataki Evil Maid są przeprowadzane, gdy ktoś majstruje przy laptopie, gdy jesteś nieobecny. Aby sklonować dysk twardy, należy zainstalować złośliwe oprogramowanie lub rejestrator kluczy. Jeśli uda im się sklonować dysk twardy, mogą porównać jeden obraz dysku twardego w momencie, gdy go zabrali, gdy cię nie było, z dyskiem twardym, gdy go przejęli. Jeśli w międzyczasie ponownie używałeś laptopa, śledczy mogą być w stanie udowodnić istnienie ukrytych danych, patrząc na różnice między dwoma obrazami w tym, co powinno być pustym / nieużywanym miejscem. Może to prowadzić do mocnych dowodów na istnienie ukrytych danych. Jeśli zainstalują rejestrator kluczy lub złośliwe oprogramowanie na twoim laptopie (oprogramowanie lub sprzęt), będą mogli po prostu uzyskać od ciebie hasło do późniejszego wykorzystania, gdy go przejmą. Takie ataki mogą być przeprowadzane w domu, hotelu, na przejściu granicznym lub w dowolnym miejscu, w którym pozostawisz swoje urządzenia bez nadzoru.


Możesz złagodzić ten atak, wykonując następujące czynności (zgodnie z wcześniejszymi zaleceniami):

• Posiadaj podstawową ochronę antysabotażową (jak wyjaśniono wcześniej), aby zapobiec fizycznemu dostępowi do wewnętrznych elementów laptopa bez Twojej wiedzy. Uniemożliwi to sklonowanie dysków i zainstalowanie fizycznego rejestratora kluczy bez wiedzy użytkownika.
• Wyłącz wszystkie porty USB (jak wyjaśniono wcześniej) w BIOS/UEFI chronionym hasłem. Ponownie, nie będą mogli ich włączyć (bez fizycznego dostępu do płyty głównej w celu zresetowania BIOS-u), aby uruchomić urządzenie USB, które mogłoby sklonować dysk twardy lub zainstalować złośliwe oprogramowanie, które mogłoby działać jako rejestrator kluczy.
• Skonfiguruj hasła BIOS/UEFI/Firmware, aby zapobiec nieautoryzowanemu uruchomieniu nieautoryzowanego urządzenia.
• Niektóre systemy operacyjne i oprogramowanie szyfrujące mają ochronę przed EvilMaid, którą można włączyć. Tak jest w przypadku Windows/Veracrypt i QubeOS.

Atak typu cold boot.

Ataki Cold Boot są trudniejsze niż atak Evil Maid, ale mogą być częścią ataku Evil Maid, ponieważ wymagają od przeciwnika wejścia w posiadanie laptopa podczas aktywnego korzystania z urządzenia lub wkrótce potem.


Pomysł jest dość prosty, jak pokazano na tym filmie, przeciwnik mógłby teoretycznie szybko uruchomić urządzenie na specjalnym kluczu USB, który skopiowałby zawartość pamięci RAM (pamięci) urządzenia po jego wyłączeniu. Jeśli porty USB są wyłączone lub jeśli czują, że potrzebują więcej czasu, mogą je otworzyć i "schłodzić" pamięć za pomocą sprayu lub innych chemikaliów (na przykład ciekłego azotu), zapobiegając rozpadowi pamięci. Następnie mogliby skopiować jej zawartość do analizy. Ten zrzut pamięci może zawierać klucz do odszyfrowania urządzenia. Później zastosujemy kilka zasad, aby je złagodzić.


W przypadku Plausible Deniability przeprowadzono pewne badania kryminalistyczne dotyczące technicznego udowodnienia obecności ukrytych danych za pomocą prostego badania kryminalistycznego (bez ataku Cold Boot/Evil Maid), ale zostały one zakwestionowane przez inne badania i przez opiekuna Veracrypt, więc nie przejmowałbym się nimi zbytnio.


Te same środki stosowane do łagodzenia ataków Evil Maid powinny być stosowane w przypadku ataków Cold Boot z kilkoma dodatkowymi:

• Jeśli system operacyjny lub oprogramowanie szyfrujące na to pozwala, należy rozważyć zaszyfrowanie kluczy również w pamięci RAM (jest to możliwe w systemie Windows/Veracrypt i zostanie wyjaśnione później).
• Powinieneś ograniczyć korzystanie z trybu uśpienia i zamiast tego użyć Shutdown lub Hibernate, aby zapobiec pozostawaniu kluczy szyfrowania w pamięci RAM, gdy komputer przechodzi w stan uśpienia. Wynika to z faktu, że uśpienie utrzyma zasilanie pamięci w celu szybszego wznowienia aktywności. Tylko hibernacja i wyłączenie faktycznie wyczyszczą klucz z pamięci.

Zobacz także https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [ Archive . org] i https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Oto kilka interesujących narzędzi do rozważenia dla użytkowników Linuksa, aby się przed nimi bronić:

• https://github.com/0xPoly/Centry [ Archive .org ] (niestety wygląda na to, że nie jest utrzymywane, więc zrobiłem fork i pull request aktualizujący dla Veracrypt https://github.com/AnonymousPlanet/Centry [ Archive .org], który nadal powinien działać)
• https://github.com/hephaest0s/usbkill [Archive.org] (niestety również nieobsługiwany)
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, tylko Intel CPU) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

O uśpieniu, hibernacji i wyłączeniu.

Jeśli chcesz zwiększyć bezpieczeństwo, powinieneś całkowicie wyłączać laptopa za każdym razem, gdy pozostawiasz go bez nadzoru lub zamykasz pokrywę. Powinno to wyczyścić i/lub zwolnić pamięć RAM i zapewnić ochronę przed atakami typu cold boot. Może to być jednak nieco niewygodne, ponieważ będziesz musiał całkowicie zrestartować komputer i wpisać mnóstwo haseł do różnych aplikacji. Restart różnych maszyn wirtualnych i innych aplikacji. Zamiast tego można więc użyć hibernacji (nieobsługiwanej w Qubes OS). Ponieważ cały dysk jest zaszyfrowany, hibernacja sama w sobie nie powinna stanowić dużego zagrożenia dla bezpieczeństwa, ale nadal wyłączy laptopa i wyczyści pamięć, umożliwiając wygodne wznowienie pracy po jej zakończeniu. To, czego nigdy nie powinieneś robić, to używać standardowej funkcji uśpienia, która utrzyma komputer włączony, a pamięć zasilana. Jest to wektor ataku przeciwko atakom evil-maid i cold-boot omówionym wcześniej. Dzieje się tak dlatego, że włączona pamięć przechowuje klucze szyfrowania dysku (zaszyfrowane lub nie) i może być dostępna dla wykwalifikowanego przeciwnika.


Niniejszy przewodnik zawiera wskazówki dotyczące włączania hibernacji w różnych systemach operacyjnych hosta (z wyjątkiem Qubes OS), jeśli nie chcesz wyłączać systemu za każdym razem.

Lokalne wycieki danych (ślady) i badanie kryminalistyczne.

Jak wspomniano pokrótce wcześniej, są to wycieki danych i ślady z systemu operacyjnego i aplikacji podczas wykonywania jakichkolwiek czynności na komputerze. Dotyczą one głównie zaszyfrowanych kontenerów plików (z lub bez wiarygodnego zaprzeczenia) niż szyfrowania całego systemu operacyjnego. Takie wycieki są mniej "ważne", jeśli cały system operacyjny jest zaszyfrowany (jeśli nie jesteś zmuszony do ujawnienia hasła).


Załóżmy na przykład, że masz zaszyfrowany klucz USB Veracrypt z włączoną wiarygodną zaprzeczalnością. W zależności od hasła użytego podczas montowania klucza USB, otworzy on folder wabika lub folder wrażliwy. W tych folderach będą znajdować się dokumenty/dane wabika w folderze wabika i poufne dokumenty/dane w folderze poufnym.


We wszystkich przypadkach (najprawdopodobniej) otworzysz te foldery za pomocą Eksploratora Windows, Findera MacOS lub innego narzędzia i zrobisz wszystko, co zamierzasz. Być może będziesz edytować dokument w folderze poufnym. Być może przeszukasz dokument w folderze. Może usuniesz lub obejrzysz poufne wideo za pomocą VLC.


Cóż, wszystkie te aplikacje i system operacyjny mogą przechowywać dzienniki i ślady tego użycia. Może to obejmować pełną ścieżkę folderu/plików/dysków, czas dostępu do nich, tymczasowe pamięci podręczne tych plików, listy "ostatnich" w każdej aplikacji, system indeksowania plików, który może indeksować dysk, a nawet miniatury, które mogą być generowane


Oto kilka przykładów takich wycieków:

Windows.

• Windows ShellBags, które są przechowywane w rejestrze Windows po cichu przechowując różne historie dostępu do woluminów/plików/folderów.
• Indeksowanie systemu Windows przechowujące domyślnie ślady plików obecnych w folderze użytkownika.
• Ostatnie listy (aka Jump Lists) w systemie Windows i różnych aplikacjach przechowujące ślady ostatnio otwieranych dokumentów.
• Wiele innych śladów w różnych dziennikach, zobacz ten wygodny interesujący plakat, aby uzyskać więcej wglądu: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].

MacOS.

• Gatekeeper290 i XProtect śledzące historię pobierania w lokalnej bazie danych i atrybuty plików.
• Indeksowanie Spotlight
• Listy ostatnio używanych dokumentów w różnych aplikacjach.
• Foldery tymczasowe przechowujące różne ślady użycia aplikacji i dokumentów.
• Dzienniki MacOS
• ...

Linux.

• Tracker Indexing
• Historia Bash
• Dzienniki USB
• Ostatnie listy w różnych aplikacjach przechowujące ślady ostatnio otwieranych dokumentów.
• Dzienniki Linux
• ...

Forensics może wykorzystać wszystkie te wycieki (patrz Lokalne wycieki danych i Forensics), aby udowodnić istnienie ukrytych danych i pokonać próby zastosowania wiarygodnego zaprzeczenia oraz dowiedzieć się o różnych wrażliwych działaniach.


Dlatego ważne jest, aby zastosować różne kroki, aby uniemożliwić kryminalistyce zrobienie tego poprzez zapobieganie i czyszczenie tych wycieków / śladów, a co ważniejsze, poprzez szyfrowanie całego dysku, wirtualizację i kompartmentalizację.


Śledczy nie mogą wyodrębnić lokalnych wycieków danych z systemu operacyjnego, do którego nie mają dostępu. Większość tych śladów będzie można usunąć poprzez wyczyszczenie dysku lub bezpieczne wymazanie maszyn wirtualnych (co nie jest tak łatwe, jak się wydaje w przypadku dysków SSD).


Niektóre techniki czyszczenia zostaną jednak omówione w części "Zatrzyj ślady" tego przewodnika na samym końcu.

Wycieki danych online.

Niezależnie od tego, czy korzystasz z prostego szyfrowania, czy z szyfrowania umożliwiającego wiarygodne zaprzeczenie. Nawet jeśli zatarłeś ślady na samym komputerze. Nadal istnieje ryzyko wycieków danych online, które mogą ujawnić obecność ukrytych danych.


Telemetria jest twoim wrogiem. Jak wyjaśniono wcześniej w tym przewodniku, telemetria systemów operacyjnych, ale także aplikacji, może wysyłać oszałamiające ilości prywatnych informacji online.


W przypadku systemu Windows dane te mogą być na przykład wykorzystane do udowodnienia istnienia ukrytego systemu operacyjnego / woluminu na komputerze i byłyby łatwo dostępne w firmie Microsoft. Dlatego niezwykle ważne jest, aby wyłączyć i zablokować telemetrię wszystkimi dostępnymi środkami. Niezależnie od używanego systemu operacyjnego.

Wnioski.

Nigdy nie powinieneś wykonywać wrażliwych działań z niezaszyfrowanego systemu. A nawet jeśli jest on zaszyfrowany, prawdopodobnie nigdy nie powinieneś wykonywać wrażliwych działań z samego systemu operacyjnego hosta. Zamiast tego powinieneś używać maszyny wirtualnej, aby móc skutecznie izolować i separować swoje działania oraz zapobiegać lokalnym wyciekom danych.


Jeśli masz niewielką lub żadną wiedzę na temat Linuksa lub jeśli chcesz korzystać z wiarygodnego zaprzeczenia w całym systemie operacyjnym, zalecałbym wybranie systemu Windows (lub powrót do trasy Tails) dla wygody. Ten poradnik pomoże ci zahartować go tak bardzo, jak to możliwe, aby zapobiec wyciekom. Ten przewodnik pomoże ci również w jak największym stopniu wzmocnić MacOS i Linux, aby zapobiec podobnym wyciekom.


Jeśli nie interesuje cię wiarygodne zaprzeczanie w całym systemie operacyjnym i chcesz nauczyć się korzystać z Linuksa, zdecydowanie polecam wybranie Linuksa lub trasy Qubes, jeśli pozwala na to twój sprzęt.


We wszystkich przypadkach system operacyjny hosta nigdy nie powinien być wykorzystywany do bezpośredniego prowadzenia wrażliwych działań. System operacyjny hosta będzie używany tylko do łączenia się z publicznym punktem dostępowym Wi-Fi. Pozostanie nieużywany podczas wykonywania wrażliwych czynności i najlepiej nie powinien być używany do żadnych codziennych czynności.


Rozważ także przeczytanie https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org].

 

[HEISENBERG]

System operacyjny Linux.

Jak wspomniałem wcześniej, nie zalecam używania codziennego laptopa do bardzo wrażliwych czynności. A przynajmniej nie zalecam używania do tego systemu operacyjnego. Może to spowodować niepożądane wycieki danych, które mogą zostać wykorzystane do deanonimizacji użytkownika. Jeśli masz do tego dedykowany laptop, powinieneś ponownie zainstalować nowy, czysty system operacyjny. Jeśli nie chcesz czyścić laptopa i zaczynać od nowa, powinieneś rozważyć trasę Tails lub postępować na własne ryzyko.


Zalecam również przeprowadzenie początkowej instalacji całkowicie offline, aby uniknąć wycieku danych.


Należy zawsze pamiętać, że pomimo reputacji, główne dystrybucje Linuksa (na przykład Ubuntu) niekoniecznie są lepsze pod względem bezpieczeństwa niż inne systemy, takie jak MacOS i Windows. Zobacz ten odnośnik, aby zrozumieć dlaczego https://madaidans-insecurities.github.io/linux.html [Archive.org].

Pełne szyfrowanie dysku.

W przypadku Ubuntu istnieją dwie możliwości:

• (Zalecane i łatwe) Szyfrowanie jako część procesu instalacji: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Ten proces wymaga pełnego wymazania całego dysku (czysta instalacja).
  • Wystarczy zaznaczyć opcję "Zaszyfruj nową instalację Ubuntu dla bezpieczeństwa".
• (Żmudne, ale możliwe) Szyfrowanie po instalacji: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org].

W przypadku innych dystrybucji będziesz musiał sam udokumentować, ale prawdopodobnie będzie podobnie. Szyfrowanie podczas instalacji jest po prostu znacznie łatwiejsze w kontekście tego przewodnika.

Odrzuć/wyłącz telemetrię.

• Podczas instalacji upewnij się, że nie zezwalasz na zbieranie danych, jeśli zostaniesz o to poproszony.
• Jeśli nie jesteś pewien, po prostu upewnij się, że nie włączyłeś żadnej telemetrii i w razie potrzeby postępuj zgodnie z tym samouczkiem https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org].
• Każda inna dystrybucja: Będziesz musiał samodzielnie udokumentować i dowiedzieć się, jak wyłączyć telemetrię, jeśli taka istnieje.

Wyłącz wszystko, co niepotrzebne.

• Wyłącz Bluetooth, jeśli jest włączony, postępując zgodnie z tym przewodnikiem https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] lub wydając następujące polecenie:
  
  • sudo systemctl disable bluetooth.service --force
• Wyłącz indeksowanie, jeśli jest domyślnie włączone (Ubuntu >19.04), postępując zgodnie z tym przewodnikiem https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] lub wydając następujące polecenia:
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Możesz bezpiecznie zignorować każdy błąd, jeśli mówi, że jakaś usługa nie istnieje
  • sudo tracker reset -hard

Hibernacja.

Jak wyjaśniono wcześniej, nie powinieneś używać funkcji uśpienia, ale wyłączać lub hibernować laptopa, aby złagodzić niektóre ataki evil-maid i cold-boot. Niestety, ta funkcja jest domyślnie wyłączona w wielu dystrybucjach Linuksa, w tym Ubuntu. Można ją włączyć, ale może nie działać zgodnie z oczekiwaniami. Postępuj zgodnie z tymi informacjami na własne ryzyko. Jeśli nie chcesz tego robić, nigdy nie powinieneś używać funkcji uśpienia i zamiast tego wyłączać komputer (i prawdopodobnie ustawić zachowanie zamykania pokrywy na wyłączenie zamiast uśpienia).


Postępuj zgodnie z jednym z tych samouczków, aby włączyć Hibernację:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Po włączeniu Hibernacji zmień zachowanie tak, aby laptop hibernował się po zamknięciu pokrywy, postępując zgodnie z tym samouczkiem dla Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20- 04/ [Archive .org ] i tym samouczkiem dla Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org].


Niestety nie spowoduje to wyczyszczenia klucza bezpośrednio z pamięci podczas hibernacji. Aby tego uniknąć kosztem wydajności, można rozważyć zaszyfrowanie pliku wymiany, postępując zgodnie z tym samouczkiem: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org].


Te ustawienia powinny złagodzić ataki zimnego rozruchu, jeśli możesz hibernować wystarczająco szybko.

Włącz losowość adresów MAC.

• Ubuntu, wykonaj te kroki https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Każda inna dystrybucja: będziesz musiał sam znaleźć dokumentację, ale powinna być dość podobna do samouczka Ubuntu.
• Rozważ ten samouczek, który powinien nadal działać: https://josh.works/shell-script-basics-change-mac-address [Archive.org].

Hardening Linux.

Jako lekkie wprowadzenie dla nowych użytkowników Linuksa, rozważ

[Invidious]


Aby uzyskać bardziej szczegółowe i zaawansowane opcje, zapoznaj się z:

• Ten doskonały przewodnik: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Ten doskonały zasób wiki: https://wiki.archlinux.org/title/Security [Archive.org]
• Te doskonałe skrypty oparte na powyższym przewodniku i wiki: https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Konfigurowanie bezpiecznej przeglądarki.

Zobacz Dodatek G: Bezpieczna przeglądarka w systemie operacyjnym hosta

 

[HEISENBERG]

MacOS Host OS.

Uwaga: W chwili obecnej niniejszy przewodnik nie obsługuje (jeszcze) MacBooków ARM M1. Ze względu na to, że Virtualbox nie obsługuje jeszcze tej architektury. Może to być jednak możliwe, jeśli korzystasz z komercyjnych narzędzi, takich jak VMWare lub Parallels, ale nie są one objęte tym przewodnikiem.


Jak wspomniano wcześniej, nie zalecam używania codziennego laptopa do bardzo wrażliwych czynności. A przynajmniej nie zalecam używania do tego systemu operacyjnego. Może to spowodować niepożądane wycieki danych, które mogą zostać wykorzystane do deanonimizacji użytkownika. Jeśli masz do tego dedykowany laptop, powinieneś ponownie zainstalować nowy, czysty system operacyjny. Jeśli nie chcesz czyścić laptopa i zaczynać od nowa, powinieneś rozważyć trasę Tails lub postępować na własne ryzyko.


Zalecam również przeprowadzenie początkowej instalacji całkowicie offline, aby uniknąć wycieku danych.


Nigdy nie loguj się na swoje konto Apple za pomocą tego komputera Mac.

Podczas instalacji.

• Pozostań offline
• Wyłącz wszystkie żądania udostępniania danych po wyświetleniu monitu, w tym usługi lokalizacyjne.
• Nie loguj się za pomocą Apple
• Nie włączaj Siri

Utwardzanie systemu macOS.

Jako lekkie wprowadzenie dla nowych użytkowników macOS, rozważ

[Invidious]


Teraz, aby bardziej dogłębnie zabezpieczyć i wzmocnić system MacOS, polecam przeczytanie tego przewodnika GitHub, który powinien obejmować wiele zagadnień: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].


Oto podstawowe kroki, które należy wykonać po instalacji offline:

Włącz hasło oprogramowania układowego za pomocą opcji "disable-reset-capability".

Najpierw należy skonfigurować hasło oprogramowania układowego, postępując zgodnie z tym przewodnikiem od Apple: https://support.apple.com/en-us/HT204455 [Archive.org]


Niestety, niektóre ataki są nadal możliwe i przeciwnik może wyłączyć to hasło, dlatego należy również postępować zgodnie z tym przewodnikiem, aby zapobiec wyłączeniu hasła oprogramowania układowego przez kogokolwiek, w tym Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].

Włącz hibernację zamiast uśpienia.

Ponownie, ma to na celu zapobieganie niektórym atakom typu cold-boot i evil-maid poprzez wyłączanie pamięci RAM i czyszczenie klucza szyfrowania po zamknięciu pokrywy. Zawsze powinieneś albo hibernować, albo zamykać komputer. W systemie MacOS funkcja hibernacji ma nawet specjalną opcję, aby specjalnie wyczyścić klucz szyfrowania z pamięci podczas hibernacji (podczas gdy w innych systemach operacyjnych może być konieczne poczekanie na rozładowanie pamięci). Po raz kolejny nie ma łatwych opcji do zrobienia tego w ustawieniach, więc zamiast tego będziemy musieli to zrobić, uruchamiając kilka poleceń, aby włączyć hibernację:

• Otwórz Terminal
• Uruchom: sudo pmset -a destroyfvkeyonstandby 1
  
  • To polecenie poinstruuje MacOS, aby zniszczył klucz Filevault w trybie gotowości (uśpienia).
• Uruchom: sudo pmset -a hibernatemode 25
  
  • To polecenie nakazuje systemowi MacOS wyłączenie pamięci podczas uśpienia zamiast wykonywania hybrydowej hibernacji, która utrzymuje pamięć włączoną. Spowoduje to wolniejsze wybudzanie, ale wydłuży żywotność baterii.

Teraz po zamknięciu pokrywy MacBooka powinien on przejść w stan hibernacji zamiast uśpienia i ograniczyć próby przeprowadzania ataków typu cold-boot.


Ponadto należy skonfigurować automatyczne uśpienie (Ustawienia > Energia), aby MacBook był automatycznie hibernowany, jeśli pozostanie bez nadzoru.

Wyłącz niepotrzebne usługi.

Wyłącz niektóre niepotrzebne ustawienia w ustawieniach:

• Wyłącz Bluetooth
• Wyłączanie kamery i mikrofonu
• Wyłącz usługi lokalizacji
• Wyłącz Airdrop
• Wyłącz indeksowanie

Zapobieganie wywołaniom OCSP firmy Apple.

Są to niesławne "nieblokowalne połączenia telemetryczne" z systemu MacOS Big Sur ujawnione tutaj: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org].


Możesz zablokować raportowanie OCSP, wydając następujące polecenie w Terminalu:

• sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'.

Prawdopodobnie jednak przed podjęciem działań należy udokumentować rzeczywisty problem. Ta strona jest dobrym miejscem do rozpoczęcia: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org].


To zależy od ciebie. Zablokowałbym to, ponieważ nie chcę żadnej telemetrii z mojego systemu operacyjnego do statku-matki bez mojej wyraźnej zgody. Brak.

Włącz pełne szyfrowanie dysku (Filevault).

Powinieneś włączyć pełne szyfrowanie dysku na komputerze Mac za pomocą Filevault zgodnie z tą częścią przewodnika: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org].


Zachowaj ostrożność podczas włączania. Nie przechowuj klucza odzyskiwania w Apple, jeśli zostaniesz o to poproszony (nie powinno to stanowić problemu, ponieważ na tym etapie powinieneś być offline). Oczywiście nie chcesz, aby osoba trzecia miała Twój klucz odzyskiwania.

Randomizacja adresów MAC.

Niestety, MacOS nie oferuje natywnego wygodnego sposobu losowania adresu MAC, więc będziesz musiał to zrobić ręcznie. Zostanie to zresetowane przy każdym ponownym uruchomieniu i będziesz musiał to zrobić ponownie za każdym razem, aby upewnić się, że nie używasz swojego rzeczywistego adresu MAC podczas łączenia się z różnymi Wi-Fi


Można to zrobić, wydając następujące polecenia w terminalu (bez nawiasów):

• (Wyłącz Wi-Fi) networksetup -setairportpower en0 off
• (Zmień adres MAC) sudo ifconfig en0 ether 88:63:11:11:11:11
• (Włącz ponownie Wi-Fi) networksetup -setairportpower en0 on

Konfigurowanie bezpiecznej przeglądarki.

Patrz Załącznik G: Bezpieczna przeglądarka w systemie operacyjnym hosta

System operacyjny hosta Windows.

Jak wspomniano wcześniej, nie zalecam używania codziennego laptopa do bardzo wrażliwych czynności. A przynajmniej nie zalecam używania do tego systemu operacyjnego na miejscu. Może to spowodować niepożądane wycieki danych, które mogą zostać wykorzystane do deanonimizacji użytkownika. Jeśli masz do tego dedykowany laptop, powinieneś ponownie zainstalować nowy, czysty system operacyjny. Jeśli nie chcesz czyścić laptopa i zaczynać od nowa, powinieneś rozważyć trasę Tails lub postępować na własne ryzyko.


Zalecam również przeprowadzenie początkowej instalacji całkowicie offline, aby uniknąć wycieku danych.

Instalacja.

Należy postępować zgodnie z Dodatkiem A: Instalacja systemu Windows


Jako lekkie wprowadzenie, warto obejrzeć

[Invidious]

Włącz losowość adresów MAC.

Powinieneś randomizować swój adres MAC, jak wyjaśniono wcześniej w tym przewodniku:


Wejdź w Ustawienia > Sieć i Internet > Wi-Fi > Włącz losowe adresy sprzętowe


Alternatywnie można użyć tego darmowego oprogramowania: https://technitium.com/tmac/ [Archive.org].

Konfigurowanie bezpiecznej przeglądarki.

Patrz Załącznik G: Bezpieczna przeglądarka w systemie operacyjnym hosta

Włączenie dodatkowych ustawień prywatności w systemie operacyjnym hosta.

Zobacz Dodatek B: Dodatkowe ustawienia prywatności w systemie Windows

Szyfrowanie systemu operacyjnego hosta Windows.

Jeśli zamierzasz używać wiarygodnego zaprzeczenia w całym systemie.

Veracrypt to oprogramowanie, które polecam do pełnego szyfrowania dysku, szyfrowania plików i wiarygodnego zaprzeczania. Jest to fork dobrze znanego, ale przestarzałego i nieobsługiwanego TrueCrypt. Może być używany do

• Prostego szyfrowania całego dysku (dysk twardy jest szyfrowany jednym hasłem).
• Pełnego szyfrowania dysku z wiarygodnym zaprzeczeniem (oznacza to, że w zależności od hasła wprowadzonego podczas rozruchu, zostanie uruchomiony fałszywy system operacyjny lub ukryty system operacyjny).
• Proste szyfrowanie kontenera plików (jest to duży plik, który można zamontować w Veracrypt tak, jakby był dyskiem zewnętrznym do przechowywania zaszyfrowanych plików).
• Kontener plików z wiarygodnym zaprzeczeniem (jest to ten sam duży plik, ale w zależności od hasła użytego podczas jego montowania, zostanie zamontowany "ukryty wolumin" lub "wolumin wabik").

Według mojej wiedzy jest to jedyne (wygodne i użyteczne dla każdego) darmowe, otwarte oprogramowanie szyfrujące, które zapewnia również wiarygodne zaprzeczenie do ogólnego użytku i działa z Windows Home Edition.


Śmiało, pobierz i zainstaluj Veracrypt ze strony: https://www.veracrypt.fr/en/Downloads.html [Archive.org].


Po instalacji należy poświęcić chwilę na zapoznanie się z poniższymi opcjami, które pomogą złagodzić niektóre ataki:

• Szyfrowanie pamięci za pomocą opcji Veracrypt (ustawienia > wydajność/opcje sterownika > szyfruj pamięć RAM) kosztem 5-15% wydajności. To ustawienie wyłączy również hibernację (która nie czyści aktywnie klucza podczas hibernacji) i zamiast tego całkowicie zaszyfruje pamięć, aby złagodzić niektóre ataki zimnego rozruchu.
• Włącz opcję Veracrypt, aby wyczyścić klucze z pamięci po włożeniu nowego urządzenia (system > ustawienia > bezpieczeństwo > wyczyść klucze z pamięci po włożeniu nowego urządzenia). Może to pomóc w przypadku przejęcia systemu, gdy jest on nadal włączony (ale zablokowany).
• Włącz opcję Veracrypt, aby montować woluminy jako woluminy wymienne (Ustawienia > Preferencje > Montuj wolumin jako nośnik wymienny). Uniemożliwi to systemowi Windows zapisywanie niektórych dzienników dotyczących montowanych woluminów w dziennikach zdarzeń i zapobiegnie lokalnym wyciekom danych.
• Bądź ostrożny i miej dobrą świadomość sytuacyjną, jeśli wyczujesz coś dziwnego. Wyłącz laptopa tak szybko, jak to możliwe.
• Chociaż nowsze wersje Veracrypt obsługują Secure Boot, zalecałbym wyłączenie go z BIOS-u, ponieważ wolę system Veracrypt Anti-Evil Maid niż Secure Boot.

Jeśli nie chcesz korzystać z szyfrowanej pamięci (ponieważ wydajność może być problemem), powinieneś przynajmniej włączyć hibernację zamiast uśpienia. Nie spowoduje to wyczyszczenia kluczy z pamięci (nadal będziesz podatny na ataki zimnego rozruchu), ale przynajmniej powinno je nieco złagodzić, jeśli pamięć ma wystarczająco dużo czasu na rozpad.


Więcej szczegółów w dalszej części Ścieżki A i B: Proste szyfrowanie przy użyciu Veracrypt (samouczek dla systemu Windows).

Jeśli nie zamierzasz używać wiarygodnego zaprzeczenia w całym systemie.

W tym przypadku zalecam użycie BitLocker zamiast Veracrypt do pełnego szyfrowania dysku. Rozumowanie jest takie, że BitLocker nie oferuje możliwości wiarygodnego zaprzeczenia w przeciwieństwie do Veracrypt. Twardy przeciwnik nie ma wtedy motywacji do kontynuowania "wzmocnionego" przesłuchania, jeśli ujawnisz hasło.


Zwykle w takim przypadku należy zainstalować system Windows Pro, a konfiguracja funkcji BitLocker jest dość prosta.


Zasadniczo można postępować zgodnie z instrukcjami tutaj: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org].


Ale oto kroki:

• Kliknij menu Windows
• Wpisz "Bitlocker"
• Kliknij "Zarządzaj Bitlocker"
• Kliknij "Włącz Bitlocker" na dysku systemowym
• Postępuj zgodnie z instrukcjami
  
  • Nie zapisuj klucza odzyskiwania na koncie Microsoft, jeśli zostanie wyświetlony monit.
  • Klucz odzyskiwania należy zapisać wyłącznie na zewnętrznym zaszyfrowanym dysku. Aby to ominąć, wydrukuj klucz odzyskiwania za pomocą drukarki Microsoft Print to PDF i zapisz klucz w folderze Dokumenty.
  • Zaszyfruj cały dysk (nie szyfruj tylko używanego miejsca na dysku).
  • Użyj "Nowego trybu szyfrowania"
  • Uruchom sprawdzanie funkcji BitLocker
  • Uruchom ponownie
• Szyfrowanie powinno być teraz uruchomione w tle (możesz to sprawdzić, klikając ikonę Bitlocker w prawym dolnym rogu paska zadań).

Włącz hibernację (opcjonalnie).

Ponownie, jak wyjaśniono wcześniej. Nigdy nie powinieneś używać funkcji uśpienia, aby złagodzić niektóre ataki zimnego rozruchu i złej matki. Zamiast tego należy wyłączyć lub hibernować. Dlatego należy przełączyć laptopa z trybu uśpienia do hibernacji po zamknięciu pokrywy lub po przejściu laptopa w stan uśpienia.


(Pamiętaj, że nie możesz włączyć hibernacji, jeśli wcześniej włączyłeś szyfrowanie pamięci RAM w Veracrypt)


Powodem jest to, że hibernacja spowoduje całkowite wyłączenie laptopa i wyczyszczenie pamięci. Z drugiej strony, uśpienie pozostawi pamięć włączoną (w tym klucz deszyfrujący) i może sprawić, że laptop będzie podatny na ataki zimnego rozruchu.


Domyślnie system Windows 10 może nie oferować tej możliwości, więc należy ją włączyć, postępując zgodnie z tym samouczkiem firmy Microsoft: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org].

• Otwórz wiersz polecenia administratora (kliknij prawym przyciskiem myszy Wiersz polecenia i "Uruchom jako administrator")
• Uruchom: powercfg.exe /hibernate on
• Teraz uruchom dodatkowe polecenie: **powercfg /h /type full**
  
  • To polecenie upewni się, że tryb hibernacji jest pełny i całkowicie wyczyści pamięć (ale nie bezpiecznie).

Następnie należy przejść do ustawień zasilania:

• Otwórz Panel sterowania
• Otwórz System i zabezpieczenia
• Otwórz Opcje zasilania
• Otwórz "Wybierz, co robi przycisk zasilania"
• Zmień wszystko z uśpienia na hibernację lub wyłączenie.
• Wróć do opcji zasilania
• Wybierz Zmień ustawienia planu
• Wybierz Zaawansowane ustawienia zasilania
• Zmień wszystkie wartości uśpienia dla każdego planu zasilania na 0 (nigdy).
• Upewnij się, że opcja Hybrid Sleep jest wyłączona dla każdego planu zasilania.
• Włącz Hibernację po wybranym czasie.
• Wyłącz wszystkie liczniki czasu budzenia

Podjęcie decyzji, którą trasę podrzędną wybierzesz.

Teraz będziesz musiał wybrać następny krok spośród dwóch opcji:

• Trasa A: Proste szyfrowanie bieżącego systemu operacyjnego
  
  • Plusy:
    
    • Nie wymaga czyszczenia laptopa
    • Nie ma problemu z lokalnymi wyciekami danych
    • Działa dobrze z dyskiem SSD
    • Działa z każdym systemem operacyjnym
    • Prostota
  • Wady:
    
    • Możesz zostać zmuszony przez przeciwnika do ujawnienia hasła i wszystkich swoich sekretów i nie będziesz miał możliwości wiarygodnego zaprzeczenia.
    • Niebezpieczeństwo wycieku danych online
• Ścieżka B: Proste szyfrowanie bieżącego systemu operacyjnego z późniejszym wykorzystaniem wiarygodnego zaprzeczenia na samych plikach:
  
  • Plusy:
    
    • Nie wymaga czyszczenia laptopa
    • Działa dobrze z dyskiem SSD
    • Działa z każdym systemem operacyjnym
    • Możliwość wiarygodnego zaprzeczenia w przypadku "miękkich" przeciwników
  • Wady:
    
    • Niebezpieczeństwo wycieku danych online
    • Niebezpieczeństwo lokalnych wycieków danych (które doprowadzą do większej ilości pracy w celu usunięcia tych wycieków)
• Ścieżka C: Prawdopodobne zaprzeczenie Szyfrowanie systemu operacyjnego (na laptopie będzie działał "ukryty system operacyjny" i "wabik systemu operacyjnego"):
  
  • Plusy:
    
    • Brak problemów z lokalnymi wyciekami danych
    • Możliwość wiarygodnego zaprzeczenia w przypadku "miękkich" przeciwników.
  • Wady:
    
    • Wymaga systemu Windows (ta funkcja nie jest "łatwo" obsługiwana w systemie Linux).
    • Niebezpieczeństwo wycieku danych online
    • Wymaga całkowitego wyczyszczenia laptopa
    • Nie używać z dyskiem SSD ze względu na wymóg wyłączenia operacji przycinania. Spowoduje to poważne pogorszenie wydajności / stanu dysku SSD w czasie.

Jak widać, trasa C oferuje tylko dwie korzyści w zakresie prywatności w porównaniu z innymi i będzie przydatna tylko przeciwko miękkiemu, legalnemu przeciwnikowi. Pamiętaj https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Decyzja, którą trasę wybierzesz, zależy od ciebie. Trasa A to minimum.


Zawsze upewnij się, że często sprawdzasz nowe wersje Veracrypt, aby upewnić się, że korzystasz z najnowszych poprawek. W szczególności należy to sprawdzić przed zastosowaniem dużych aktualizacji systemu Windows, które mogą uszkodzić program ładujący Veracrypt i spowodować pętlę rozruchową.


NALEŻY PAMIĘTAĆ, ŻE DOMYŚLNIE VERACRYPT ZAWSZE PROPONUJE HASŁO SYSTEMOWE W KAWIATURZE (wyświetla hasło jako test). Może to powodować problemy, jeśli do uruchamiania systemu używana jest klawiatura laptopa (na przykład AZERTY), ponieważ hasło zostało skonfigurowane w układzie QWERTY i zostanie wprowadzone podczas uruchamiania systemu w układzie AZERTY. Upewnij się więc, że podczas rozruchu testowego sprawdziłeś, jakiego układu klawiatury używa twój BIOS. Logowanie może się nie powieść tylko z powodu pomylenia QWERTY/AZERTY. Jeśli twój BIOS uruchamia się przy użyciu AZERTY, będziesz musiał wpisać hasło w QWERTY w Veracrypt.

Ścieżka A i B: Proste szyfrowanie przy użyciu Veracrypt (samouczek dla systemu Windows)

Pomiń ten krok, jeśli wcześniej korzystałeś z funkcji BitLocker.


Nie musisz mieć dysku twardego dla tej metody i nie musisz wyłączać Trim na tej trasie. Wycieki Trim będą przydatne tylko dla kryminalistyków w wykrywaniu obecności ukrytego woluminu, ale poza tym nie będą zbyt przydatne.


Ta trasa jest raczej prosta i po prostu zaszyfruje bieżący system operacyjny bez utraty jakichkolwiek danych. Pamiętaj, aby przeczytać wszystkie teksty wyświetlane przez Veracrypt, aby w pełni zrozumieć, co się dzieje.

• Uruchom VeraCrypt
• Przejdź do Ustawień:
  
  • Ustawienia > Opcje wydajności/sterowników > Szyfruj pamięć RAM
  • System > Ustawienia > Bezpieczeństwo > Wyczyść klucze z pamięci po włożeniu nowego urządzenia
  • System > Ustawienia > Windows > Włącz bezpieczny pulpit
• Wybierz System
• Wybierz Szyfruj partycję/dysk systemowy
• Wybierz Normalny (Prosty)
• Wybierz Single-Boot
• Wybierz AES jako algorytm szyfrowania (kliknij przycisk testu, jeśli chcesz porównać prędkości).
• Wybierz SHA-512 jako algorytm skrótu (bo dlaczego nie)
• Wprowadź silne hasło (im dłuższe, tym lepsze, pamiętaj o dodatku A2: Wytyczne dotyczące haseł i haseł).
• Zbierz entropię, losowo przesuwając kursor, aż pasek się zapełni.
• Kliknij Next (Dalej), aby wyświetlić ekran Generated Keys (Wygenerowane klucze)
• Dysk ratunkowy czy nie, to już zależy od ciebie. Zalecam utworzenie jednego (na wszelki wypadek), po prostu upewnij się, że przechowujesz go poza zaszyfrowanym dyskiem (na przykład klucz USB lub poczekaj i zobacz koniec tego przewodnika, aby uzyskać wskazówki dotyczące bezpiecznych kopii zapasowych). Ten dysk ratunkowy nie będzie przechowywał twojego hasła i nadal będziesz go potrzebować, aby z niego korzystać.
• Tryb wymazywania:
  
  • Jeśli na tym laptopie nie ma jeszcze żadnych poufnych danych, wybierz opcję Brak
  • Jeśli wrażliwe dane znajdują się na dysku SSD, sam Trim powinien się nimi zająć, ale dla pewności zalecałbym 1 przebieg (dane losowe).
  • Jeśli masz wrażliwe dane na dysku HDD, nie ma Trim i zalecałbym co najmniej 1-przebieg.
• Przetestuj swoją konfigurację. Veracrypt zrestartuje teraz system, aby przetestować bootloader przed szyfrowaniem. Test ten musi zakończyć się pomyślnie, aby szyfrowanie mogło być kontynuowane.
• Po ponownym uruchomieniu komputera i zaliczeniu testu. Zostaniesz poproszony przez Veracrypt o rozpoczęcie procesu szyfrowania.
• Rozpocznij szyfrowanie i poczekaj na jego zakończenie.
• Skończyłeś, pomiń ścieżkę B i przejdź do następnych kroków.

Będzie jeszcze jedna sekcja na temat tworzenia zaszyfrowanych kontenerów plików z Plausible Deniability w systemie Windows.

Ścieżka B: Szyfrowanie Plausible Deniability z ukrytym systemem operacyjnym (tylko Windows)

Jest to obsługiwane tylko w systemie Windows.


Jest to zalecane tylko na dysku HDD. Nie jest to zalecane na dysku SSD.


Ukryty system operacyjny nie powinien być aktywowany (za pomocą klucza produktu MS). Dlatego ta trasa zaleci i poprowadzi Cię przez pełną czystą instalację, która wyczyści wszystko na twoim laptopie.


Przeczytaj dokumentację Veracrypt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org ] (Proces tworzenia ukrytego systemu operacyjnego) i https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org ] (Wymagania bezpieczeństwa i środki ostrożności dotyczące ukrytych woluminów).


Tak będzie wyglądał system po zakończeniu tego procesu:

(Ilustracja z dokumentacji Veracrypt, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]).


Jak widać, proces ten wymaga posiadania dwóch partycji na dysku twardym od samego początku.


Proces ten wykona następujące czynności:

• Zaszyfruje drugą partycję (wolumin zewnętrzny), która będzie wyglądać jak pusty niesformatowany dysk z wabika systemu operacyjnego.
• Wyświetli monit z możliwością skopiowania zawartości przynęty na wolumin zewnętrzny.
  
  • W tym miejscu skopiujesz swoją kolekcję filmów anime/porno z zewnętrznego dysku twardego na wolumin zewnętrzny.
• Utwórz ukryty wolumin w zewnętrznym woluminie tej drugiej partycji. To tutaj będzie znajdować się ukryty system operacyjny.
• Sklonuj aktualnie uruchomioną instalację systemu Windows 10 na ukryty wolumin.
• Wyczyść aktualnie uruchomiony system Windows 10.
• Oznacza to, że obecny system Windows 10 stanie się ukrytym systemem Windows 10 i konieczne będzie ponowne zainstalowanie nowego systemu operacyjnego Windows 10.

Obowiązkowe, jeśli masz dysk SSD i nadal chcesz to zrobić wbrew zaleceniom: Wyłącz SSD Trim w Windows (ponownie NIE jest to w ogóle zalecane, ponieważ wyłączenie Trim samo w sobie jest wysoce podejrzane).Również jak wspomniano wcześniej, wyłączenie Trim skróci żywotność dysku SSD i znacząco wpłynie na jego wydajność w czasie (laptop będzie stawał się coraz wolniejszy w ciągu kilku miesięcy użytkowania, aż stanie się prawie bezużyteczny, będziesz wtedy musiał wyczyścić dysk i ponownie zainstalować wszystko). Ale musisz to zrobić, aby zapobiec wyciekom danych , które mogłyby pozwolić kryminalistom na pokonanie wiarygodnego zaprzeczenia. Obecnie jedynym sposobem na obejście tego problemu jest posiadanie laptopa z klasycznym dyskiem twardym.

 

[HEISENBERG]

Krok 1: Utwórz klucz USB do instalacji systemu Windows 10

Zapoznaj się z Dodatkiem C: Tworzenie nośnika instalacyjnego systemu Windows i skorzystaj z klucza USB.

Krok 2: Uruchom klucz USB i rozpocznij proces instalacji systemu Windows 10 (ukryty system operacyjny).

• Włóż klucz USB do laptopa
• Zapoznaj się z Dodatkiem A: Instalacja systemu Windows i kontynuuj instalację systemu Windows 10 Home.

Krok 3: Ustawienia prywatności (ukryty system operacyjny)

Zobacz Dodatek B: Dodatkowe ustawienia prywatności systemu Windows

Krok 4: Rozpoczęcie procesu instalacji i szyfrowania Veracrypt (Ukryty system operacyjny)

Pamiętaj, aby przeczytać https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org].


Nie podłączaj tego systemu operacyjnego do znanej sieci Wi-Fi. Należy pobrać instalator Veracrypt z innego komputera i skopiować go tutaj za pomocą klucza USB.

• Instalacja Veracrypt
• Uruchom program Veracrypt
• Przejdź do Ustawień:
  
  • Ustawienia > Wydajność/Opcje sterownika > Szyfruj pamięć RAM(należy pamiętać, że ta opcja nie jest kompatybilna z Hibernacją laptopa i oznacza konieczność całkowitego wyłączenia urządzenia).
  • System > Ustawienia > Bezpieczeństwo > Wyczyść klucze z pamięci po włożeniu nowego urządzenia.
  • System > Ustawienia > Windows > Włącz bezpieczny pulpit
• Przejdź do System i wybierz opcję Utwórz ukryty system operacyjny.
• Dokładnie przeczytaj wszystkie monity
• Wybierz Single-Boot, jeśli zostaniesz o to poproszony.
• Utwórz wolumin zewnętrzny przy użyciu AES i SHA-512.
• Wykorzystaj całe miejsce dostępne na drugiej partycji dla woluminu zewnętrznego.
• Użyj silnego hasła (pamiętaj o dodatku A2: Wytyczne dotyczące haseł i haseł).
• Wybierz opcję Tak dla dużych plików.
• Utwórz Entropię, przesuwając mysz, aż pasek się zapełni i wybierz NTFS (nie wybieraj exFAT, ponieważ chcemy, aby ten wolumin zewnętrzny wyglądał "normalnie", a NTFS jest normalny).
• Formatowanie woluminu zewnętrznego
• Otwórz wolumin zewnętrzny:
  
  • Na tym etapie należy skopiować dane wabika na wolumin zewnętrzny. Powinieneś więc mieć kilka wrażliwych, ale nie tak wrażliwych plików / folderów do skopiowania. Na wypadek konieczności ujawnienia hasła do tego woluminu. Jest to dobre miejsce na kolekcję anime/mp3/filmów/porno.
  • Zalecam, aby nie zapełniać zewnętrznego woluminu zbyt mocno lub zbyt słabo (około 40%). Pamiętaj, że musisz zostawić wystarczająco dużo miejsca na ukryty system operacyjny (który będzie miał taki sam rozmiar jak pierwsza partycja utworzona podczas instalacji).
• Użyj silnego hasła dla ukrytego woluminu (oczywiście innego niż dla woluminu zewnętrznego).
• Teraz utwórz ukryty wolumin, wybierz AES i SHA-512
• Wypełnij pasek entropii do końca losowymi ruchami myszy.
• Sformatuj ukryty wolumin
• Kontynuuj klonowanie
• Veracrypt uruchomi się ponownie i sklonuje system Windows, w którym rozpoczęto ten proces, do ukrytego woluminu. Ten system Windows stanie się ukrytym systemem operacyjnym.
• Po zakończeniu klonowania Veracrypt uruchomi się ponownie w ukrytym systemie
• Veracrypt poinformuje, że Ukryty system jest teraz zainstalowany, a następnie wyświetli monit o wyczyszczenie oryginalnego systemu operacyjnego (tego, który został wcześniej zainstalowany za pomocą klucza USB).
• Użyj 1-Pass Wipe i kontynuuj.
• Teraz twój ukryty system operacyjny zostanie zainstalowany, przejdź do następnego kroku

Krok 5: Uruchom ponownie komputer z klucza USB i ponownie rozpocznij proces instalacji systemu Windows 10 (Decoy OS).

Teraz, gdy ukryty system operacyjny jest w pełni zainstalowany, musisz zainstalować system operacyjny wabika.

• Włóż klucz USB do laptopa
• Zapoznaj się z Dodatkiem A: Instalacja systemu Windows i ponownie zainstaluj system Windows 10 Home (nie instaluj innej wersji i pozostań przy wersji Home).

Krok 6: Ustawienia prywatności (Decoy OS)

Zobacz Dodatek B: Dodatkowe ustawienia prywatności systemu Windows

Krok 7: Instalacja Veracrypt i rozpoczęcie procesu szyfrowania (Decoy OS)

Teraz zaszyfrujemy Decoy OS:

• Zainstaluj Veracrypt
• Uruchom program VeraCrypt
• Wybierz System
• Wybierz Szyfruj partycję/dysk systemowy
• Wybierz Normalny (Prosty)
• Wybierz Single-Boot
• Wybierz AES jako algorytm szyfrowania (kliknij przycisk testu, jeśli chcesz porównać prędkości)
• Wybierz SHA-512 jako algorytm skrótu (bo dlaczego nie)
• Wprowadź krótkie, słabe hasło (tak, to poważna sprawa, zrób to, zostanie to wyjaśnione później).
• Zbierz trochę entropii, losowo przesuwając kursor, aż pasek się zapełni.
• Kliknij Next, aby wyświetlić ekran Generated Keys
• Dysk ratunkowy czy nie, to już zależy od ciebie. Zalecam utworzenie jednego (na wszelki wypadek), tylko upewnij się, że przechowujesz go poza zaszyfrowanym dyskiem (na przykład klucz USB lub poczekaj i zobacz koniec tego przewodnika, aby uzyskać wskazówki dotyczące bezpiecznych kopii zapasowych). Ten dysk ratunkowy nie będzie przechowywał twojego hasła i nadal będziesz go potrzebować, aby z niego korzystać.
• Tryb wymazywania: Dla bezpieczeństwa wybierz opcję 1-Pass
• Przetestuj wstępnie konfigurację. Veracrypt uruchomi ponownie system, aby przetestować bootloader przed szyfrowaniem. Test ten musi zakończyć się pomyślnie, aby szyfrowanie mogło być kontynuowane.
• Po ponownym uruchomieniu komputera i przejściu testu. Zostaniesz poproszony przez Veracrypt o rozpoczęcie procesu szyfrowania.
• Rozpocznij szyfrowanie i poczekaj na jego zakończenie.
• Decoy OS jest teraz gotowy do użycia.

Krok 8: Przetestuj swoją konfigurację (Boot in Both)

Czas przetestować konfigurację.

• Uruchom ponownie komputer i wprowadź hasło Hidden OS, powinieneś uruchomić system w Hidden OS.
• Uruchom ponownie komputer i wprowadź hasło Decoy OS, powinieneś uruchomić komputer w Decoy OS.
• Uruchom Veracrypt na Decoy OS i zamontuj drugą partycję przy użyciu hasła Outer Volume Passphrase (zamontuj ją jako tylko do odczytu, przechodząc do Mount Options i wybierając Read-Only), a powinna ona zamontować drugą partycję jako tylko do odczytu, wyświetlając dane wabika (kolekcję anime / porno). Montujesz ją teraz jako tylko do odczytu, ponieważ gdybyś zapisał na niej dane, mógłbyś zastąpić zawartość ukrytego systemu operacyjnego.

Krok 9: Bezpieczna zmiana danych wabika na woluminie zewnętrznym

Zanim przejdziesz do następnego kroku, powinieneś poznać sposób bezpiecznego montowania woluminu zewnętrznego w celu zapisywania na nim treści. Jest to również wyjaśnione w oficjalnej dokumentacji Veracrypt https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org].


Powinieneś to zrobić z bezpiecznego, zaufanego miejsca.


Zasadniczo zamierzasz zamontować wolumin zewnętrzny, jednocześnie podając hasło ukrytego woluminu w opcjach montowania, aby chronić ukryty wolumin przed nadpisaniem. Veracrypt pozwoli wówczas na zapis danych na woluminie zewnętrznym bez ryzyka nadpisania jakichkolwiek danych na woluminie ukrytym.


Ta operacja w rzeczywistości nie zamontuje ukrytego woluminu i powinna zapobiec tworzeniu jakichkolwiek dowodów kryminalistycznych, które mogłyby doprowadzić do odkrycia ukrytego systemu operacyjnego. Jednak podczas wykonywania tej operacji oba hasła będą przechowywane w pamięci RAM, a zatem nadal możesz być podatny na atak zimnego rozruchu. Aby to złagodzić, upewnij się, że masz również opcję szyfrowania pamięci RAM.

• Otwórz Veracrypt
• Wybierz drugą partycję
• Kliknij Mount
• Kliknij Opcje montażu
• Zaznacz opcję "Chroń ukryty wolumin...". Opcja
• Wprowadź hasło ukrytego systemu operacyjnego
• Kliknij OK
• Wprowadź hasło woluminu zewnętrznego
• Kliknij OK
• Teraz powinno być możliwe otwieranie i zapisywanie na woluminie zewnętrznym w celu zmiany zawartości (kopiowanie/przenoszenie/usuwanie/edycja...).

Krok 10: Pozostawienie dowodów kryminalistycznych zewnętrznego woluminu (z danymi wabika) w systemie operacyjnym wabika.

Musimy sprawić, by Decoy OS był tak wiarygodny, jak to tylko możliwe. Chcemy również, aby przeciwnik myślał, że nie jesteś taki sprytny.


Dlatego ważne jest, aby dobrowolnie pozostawić pewne dowody kryminalistyczne dotyczące zawartości przynęty w systemie operacyjnym przynęty. Dowody te pozwolą śledczym zobaczyć, że często montowałeś swój wolumin zewnętrzny, aby uzyskać dostęp do jego zawartości.


Oto dobre wskazówki, jak pozostawić dowody kryminalistyczne:

• Odtwarzaj zawartość z zewnętrznego woluminu w systemie Decoy OS (na przykład za pomocą VLC). Pamiętaj, aby zachować ich historię.
• Edytuj dokumenty i pracuj w nich.
• Ponownie włącz indeksowanie plików w systemie Decoy OS i dołącz zamontowany wolumin zewnętrzny.
• Odmontuj go i często montuj, aby oglądać niektóre treści.
• Skopiuj niektóre treści z woluminu zewnętrznego do systemu Decoy OS, a następnie usuń je w bezpieczny sposób (po prostu umieść je w koszu).
• Zainstaluj klienta Torrent na Decoy OS i używaj go od czasu do czasu do pobierania podobnych rzeczy, które pozostawisz na Decoy OS.
• Możesz mieć zainstalowanego klienta VPN na Decoy OS ze znaną Ci siecią VPN (płatną bezgotówkowo).

Nie umieszczaj niczego podejrzanego na Decoy OS, takiego jak:

• Ten przewodnik
• Wszelkie linki do tego przewodnika
• Jakiekolwiek podejrzane oprogramowanie zapewniające anonimowość, takie jak Tor Browser

Uwagi.

Pamiętaj, że będziesz potrzebował ważnych wymówek, aby ten scenariusz wiarygodnego zaprzeczenia zadziałał:


Poświęć trochę czasu na ponowne przeczytanie "Possible Explanations for Existence of Two Veracrypt Partitions on Single Drive" dokumentacji Veracrypt tutaj https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org].

• Używasz Veracrypt, ponieważ korzystasz z systemu Windows 10 Home, który nie ma funkcji Bitlocker, ale nadal chcesz zachować prywatność.
• Masz dwie partycje, ponieważ chciałeś oddzielić system od danych, aby ułatwić organizację i ponieważ znajomy geek powiedział ci, że jest to lepsze dla wydajności.
• Użyłeś słabego hasła, aby ułatwić wygodne uruchamianie systemu i silnego, długiego hasła na woluminie zewnętrznym, ponieważ byłeś zbyt leniwy, aby wpisywać silne hasło przy każdym uruchomieniu.
• Zaszyfrowałeś drugą partycję innym hasłem niż system, ponieważ nie chciałeś, aby ktokolwiek z twojego otoczenia widział twoje rzeczy. Nie chciałeś, aby te dane były dostępne dla kogokolwiek.

Bądź ostrożny:

• Nigdy nie powinieneś montować ukrytego woluminu z Decoy OS (NIGDY, NIGDY). Jeśli to zrobisz, stworzysz dowody kryminalistyczne ukrytego woluminu w systemie Decoy OS, które mogą zagrozić twojej próbie wiarygodnego zaprzeczenia. Jeśli i tak to zrobiłeś (celowo lub przez pomyłkę) z Decoy OS, istnieją sposoby na usunięcie dowodów kryminalistycznych, które zostaną wyjaśnione później na końcu tego przewodnika.
• Nigdy nie używaj wabika z tej samej sieci (publicznego Wi-Fi), co ukryty system operacyjny.
• Podczas montowania woluminu zewnętrznego z przynęty systemu operacyjnego nie należy zapisywać żadnych danych na woluminie zewnętrznym, ponieważ może to zastąpić to, co wygląda jak puste miejsce, ale w rzeczywistości jest ukrytym systemem operacyjnym. Należy zawsze montować go jako tylko do odczytu.
• Jeśli chcesz zmienić zawartość wabika na woluminie zewnętrznym, powinieneś użyć klucza USB Live OS, który uruchomi Veracrypt.
• Pamiętaj, że nie będziesz używać ukrytego systemu operacyjnego do wykonywania wrażliwych działań, zostanie to zrobione później z maszyny wirtualnej w ukrytym systemie operacyjnym. Ukryty system operacyjny ma na celu jedynie ochronę przed miękkim przeciwnikiem, który mógłby uzyskać dostęp do laptopa i zmusić użytkownika do ujawnienia hasła.
• Należy uważać na wszelkie manipulacje przy laptopie. Ataki Evil-Maid mogą ujawnić ukryty system operacyjny.

 

[HEISENBERG]

Virtualbox w systemie operacyjnym hosta.

Pamiętaj o Dodatku W: Wirtualizacja.


Ten i kolejne kroki należy wykonać z poziomu systemu operacyjnego hosta. Może to być system operacyjny hosta z prostym szyfrowaniem (Windows/Linux/MacOS) lub ukryty system operacyjny z wiarygodnym zaprzeczeniem (tylko Windows).


Na tej trasie będziemy szeroko korzystać z bezpłatnego oprogramowania Oracle Virtualbox. Jest to oprogramowanie do wirtualizacji, w którym można tworzyć maszyny wirtualne, które emulują komputer z określonym systemem operacyjnym (jeśli chcesz użyć czegoś innego, takiego jak Xen, Qemu, KVM lub VMWARE, możesz to zrobić, ale ta część przewodnika obejmuje Virtualbox tylko dla wygody).


Powinieneś więc mieć świadomość, że Virtualbox nie jest oprogramowaniem do wirtualizacji z najlepszymi osiągnięciami w zakresie bezpieczeństwa, a niektóre ze zgłoszonych problemów nie zostały całkowicie naprawione do dnia dzisiejszego, a jeśli używasz Linuksa z nieco większymi umiejętnościami technicznymi, powinieneś rozważyć użycie KVM zamiast tego, postępując zgodnie z przewodnikiem dostępnym w Whonix tutaj https://www.whonix.org/wiki/KVM [ Archive.org] i tutaj https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


We wszystkich przypadkach należy podjąć pewne kroki:


Wszystkie wrażliwe działania będą wykonywane z poziomu maszyny wirtualnej gościa z systemem Windows 10 Pro (tym razem nie Home), Linux lub MacOS.


Ma to kilka zalet, które znacznie ułatwią zachowanie anonimowości:

• Powinno to uniemożliwić systemowi operacyjnemu maszyny wirtualnej gościa (Windows/Linux/MacOS), aplikacjom i wszelkim danym telemetrycznym w maszynach wirtualnych bezpośredni dostęp do sprzętu. Nawet jeśli maszyna wirtualna zostanie zaatakowana przez złośliwe oprogramowanie, nie powinno ono być w stanie dostać się do maszyny wirtualnej i zaatakować rzeczywistego laptopa.
• Pozwoli nam to zmusić cały ruch sieciowy z klienckiej maszyny wirtualnej do przejścia przez inną maszynę wirtualną Gateway, która skieruje (torify) cały ruch do sieci Tor. Jest to sieciowy "wyłącznik awaryjny". Twoja maszyna wirtualna całkowicie utraci łączność sieciową i przejdzie w tryb offline, jeśli druga maszyna wirtualna utraci połączenie z siecią Tor.
• Sama maszyna wirtualna, która ma łączność z Internetem tylko za pośrednictwem bramy sieci Tor, połączy się z opłaconą gotówką usługą VPN za pośrednictwem sieci Tor.
• Wycieki DNS będą niemożliwe, ponieważ maszyna wirtualna znajduje się w odizolowanej sieci, która musi przejść przez sieć Tor bez względu na wszystko.

 

[HEISENBERG]

Wybierz metodę łączności.

W ramach tej trasy dostępnych jest 7 możliwości:

• Zalecana i Preferowana:
  
  • Użyj samego Tora (Użytkownik > Tor > Internet)
  • Używanie VPN nad Torem (Użytkownik > Tor > VPN > Internet) w określonych przypadkach.
• Możliwe, jeśli wymaga tego kontekst:
  
  • Use VPN over Tor over VPN (User > VPN > Tor > VPN > Internet)
  • Użyj Tora przez VPN (Użytkownik > VPN > Tor > Internet)
• Niezalecane i ryzykowne:
  
  • Używaj samej sieci VPN (Użytkownik > VPN > Internet)
  • Używanie VPN przez VPN (Użytkownik > VPN > VPN > Internet)
• Niezalecane i wysoce ryzykowne (ale możliwe)
  
  • Bez VPN i bez Tora (Użytkownik > Internet)

Tylko Tor.

Jest to preferowane i najbardziej zalecane rozwiązanie.

Dzięki temu rozwiązaniu cała sieć przechodzi przez Tor i powinno to wystarczyć do zagwarantowania anonimowości w większości przypadków.


Jest jednak jedna główna wada: niektóre usługi całkowicie blokują / banują węzły Tor Exit i nie zezwalają na tworzenie kont z tych węzłów.


Aby to złagodzić, warto rozważyć następną opcję: VPN przez Tor, ale należy wziąć pod uwagę pewne zagrożenia z tym związane, wyjaśnione w następnej sekcji.

VPN/Proxy over Tor.

To rozwiązanie może przynieść pewne korzyści w niektórych szczególnych przypadkach w porównaniu do korzystania tylko z Tora, gdzie dostęp do usługi docelowej byłby niemożliwy z węzła Tor Exit. Dzieje się tak dlatego, że wiele usług po prostu zakazuje, utrudnia lub blokuje Tora ( patrz https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Jak widać na tej ilustracji, jeśli VPN/Proxy opłacane gotówką (preferowane)/monetami Monero zostanie naruszone przez przeciwnika (pomimo ich oświadczenia o prywatności i polityki braku logowania), znajdą oni tylko anonimowe konto VPN/Proxy opłacane gotówką/Monetami łączące się z ich usługami z węzła Tor Exit.

Jeśli przeciwnikowi uda się w jakiś sposób skompromitować również sieć Tor, ujawni on jedynie adres IP losowego publicznego Wi-Fi, który nie jest powiązany z tożsamością użytkownika.


Jeśli przeciwnik w jakiś sposób naruszy system operacyjny maszyny wirtualnej (na przykład za pomocą złośliwego oprogramowania lub exploita), zostanie uwięziony w wewnętrznej sieci Whonix i nie będzie w stanie ujawnić adresu IP publicznej sieci Wi-Fi.


Rozwiązanie to ma jednak jedną główną wadę, którą należy wziąć pod uwagę: Zakłócenia z Tor Stream Isolation.


Izolacja strumieni to technika łagodzenia stosowana w celu zapobiegania niektórym atakom korelacyjnym poprzez posiadanie różnych obwodów Tora dla każdej aplikacji. Oto ilustracja pokazująca, czym jest izolacja strumienia:

(Ilustracja od Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org]).


VPN/Proxy over Tor znajduje się po prawej stronie, co oznacza, że korzystanie z VPN/Proxy over Tor zmusza Tora do używania jednego obwodu dla wszystkich działań zamiast wielu obwodów dla każdego z nich. Oznacza to, że korzystanie z VPN/Proxy przez Tora może nieco zmniejszyć skuteczność Tora w niektórych przypadkach i dlatego powinno być używane tylko w określonych przypadkach:

• Gdy usługa docelowa nie zezwala na węzły Tor Exit.
• Gdy nie masz nic przeciwko używaniu współdzielonego obwodu Tor dla różnych usług. Na przykład do korzystania z różnych uwierzytelnionych usług.

Powinieneś jednak rozważyć nieużywanie tej metody, gdy twoim celem jest po prostu przeglądanie losowych różnych nieuwierzytelnionych stron internetowych, ponieważ nie skorzystasz z Stream Isolation, a to może z czasem ułatwić ataki korelacyjne dla przeciwnika między każdą z twoich sesji (patrz Twój zanonimizowany ruch Tor/VPN). Jeśli jednak twoim celem jest używanie tej samej tożsamości w każdej sesji w tych samych uwierzytelnionych usługach, wartość Stream Isolation jest mniejsza, ponieważ możesz być skorelowany za pomocą innych środków.


Należy również wiedzieć, że Stream Isolation niekoniecznie jest domyślnie skonfigurowany na Whonix Workstation. Jest ona wstępnie skonfigurowana tylko dla niektórych aplikacji (w tym przeglądarki Tor Browser).


Należy również pamiętać, że Stream Isolation niekoniecznie zmienia wszystkie węzły w obwodzie Tor. Czasami może zmienić tylko jeden lub dwa. W wielu przypadkach Stream Isolation (na przykład w przeglądarce Tor Browser) zmieni tylko węzeł przekaźnikowy (środkowy) i węzeł wyjściowy, zachowując ten sam węzeł strażniczy (wejściowy).


Więcej informacji na stronie:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

Tor przez VPN.

Być może zastanawiasz się: Cóż, a co z używaniem Tor over VPN zamiast VPN over Tor? Cóż, niekoniecznie:

• Wady
  
  • Twój dostawca VPN jest po prostu kolejnym dostawcą usług internetowych, który będzie wtedy znał Twój źródłowy adres IP i będzie w stanie pozbawić Cię anonimowości, jeśli zajdzie taka potrzeba. Nie ufamy im. Wolę sytuację, w której dostawca VPN nie wie, kim jesteś. Nie dodaje to wiele pod względem anonimowości.
  • Spowodowałoby to łączenie się z różnymi usługami przy użyciu adresu IP węzła wyjściowego Tor, które są zakazane / oflagowane w wielu miejscach. Nie pomaga to pod względem wygody.
• Zalety:
  
  • Główną zaletą jest to, że jeśli jesteś we wrogim środowisku, gdzie dostęp do Tora jest niemożliwy/niebezpieczny/podejrzany, ale VPN jest w porządku.
  • Ta metoda nie łamie również izolacji Tor Stream.

Uwaga: jeśli masz problemy z dostępem do sieci Tor z powodu blokowania/cenzury, możesz spróbować użyć Tor Bridges. Zobacz Dodatek X: Korzystanie z mostów Tor we wrogich środowiskach.


Możliwe jest również rozważenie VPN przez Tor przez VPN (Użytkownik > VPN > Tor > VPN > Internet) przy użyciu dwóch płatnych gotówką/Monero sieci VPN. Oznacza to, że system operacyjny hosta połączy się z pierwszą siecią VPN z publicznej sieci Wi-Fi, następnie Whonix połączy się z siecią Tor, a na końcu maszyna wirtualna połączy się z drugą siecią VPN przez Tor przez VPN ( patrz https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Będzie to oczywiście miało znaczący wpływ na wydajność i może być dość powolne, ale uważam, że Tor jest niezbędny do osiągnięcia rozsądnej anonimowości.


Osiągnięcie tego technicznie jest łatwe w ramach tej trasy, potrzebujesz dwóch oddzielnych anonimowych kont VPN i musisz połączyć się z pierwszą siecią VPN z systemu operacyjnego hosta i podążać tą trasą.


Wniosek: Zrób to tylko wtedy, gdy uważasz, że korzystanie z samego Tora jest ryzykowne / niemożliwe, ale VPN jest w porządku. Lub po prostu dlatego, że możesz i dlaczego nie.

 

[HEISENBERG]

Tylko VPN.

Ta droga nie będzie wyjaśniana ani zalecana.


Jeśli możesz korzystać z VPN, powinieneś być w stanie dodać do niego warstwę Tor. A jeśli możesz korzystać z Tora, możesz dodać anonimową sieć VPN do Tora, aby uzyskać preferowane rozwiązanie.


Samo korzystanie z VPN lub nawet VPN nad VPN nie ma sensu, ponieważ z czasem można je prześledzić. Jeden z dostawców VPN będzie znał twoje prawdziwe IP pochodzenia (nawet jeśli znajduje się w bezpiecznej przestrzeni publicznej) i nawet jeśli dodasz jeden nad nim, drugi nadal będzie wiedział, że korzystałeś z tej drugiej pierwszej usługi VPN. To tylko nieznacznie opóźni deanonimizację. Tak, jest to dodatkowa warstwa... ale jest to trwała scentralizowana dodatkowa warstwa i z czasem możesz zostać pozbawiony anonimowości. Jest to po prostu połączenie 3 dostawców usług internetowych, z których wszyscy podlegają zgodnym z prawem żądaniom.


Więcej informacji można znaleźć w następujących źródłach:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

W kontekście tego przewodnika, Tor jest niezbędny do osiągnięcia rozsądnej i bezpiecznej anonimowości i powinieneś go używać, jeśli możesz.

Brak VPN/Tor.

Jeśli nie możesz korzystać z VPN ani Tora w miejscu, w którym się znajdujesz, prawdopodobnie jesteś w bardzo wrogim środowisku, w którym nadzór i kontrola są bardzo wysokie.


Po prostu tego nie rób, nie warto i jest to zbyt ryzykowne IMHO. Każdy zmotywowany przeciwnik, który może dotrzeć do twojej fizycznej lokalizacji w ciągu kilku minut, może niemal natychmiast pozbawić cię anonimowości.


Nie zapomnij zapoznać się z adwersarzami (zagrożeniami) i dodatkiem S: Sprawdź swoją sieć pod kątem inwigilacji / cenzury za pomocą OONI.


Jeśli nie masz absolutnie żadnej innej opcji i nadal chcesz coś zrobić, zapoznaj się z Dodatkiem P: Uzyskiwanie dostępu do Internetu tak bezpiecznie, jak to możliwe, gdy Tor / VPN nie jest opcją (na własne ryzyko) i zamiast tego rozważ trasę The Tails.

Wnioski.

Niestety, korzystanie z samego Tora wzbudzi podejrzenia wielu platform docelowych. Napotkasz wiele przeszkód (captcha, błędy, trudności z rejestracją), jeśli używasz tylko Tora. Ponadto korzystanie z Tora w miejscu, w którym się znajdujesz, może narazić cię na kłopoty. Ale Tor pozostaje najlepszym rozwiązaniem dla anonimowości i musi być gdzieś dla anonimowości.

• Jeśli Twoim zamiarem jest tworzenie trwałych, współdzielonych i uwierzytelnionych tożsamości w różnych usługach, do których dostęp z Tora jest trudny, polecam opcję VPN over Tor (lub VPN over Tor over VPN, jeśli jest taka potrzeba). Może ona być nieco mniej bezpieczna przed atakami korelacyjnymi ze względu na przełamanie izolacji Tor Stream, ale zapewnia znacznie większą wygodę w dostępie do zasobów online niż samo korzystanie z Tora. Jest to "akceptowalny" kompromis IMHP, jeśli jesteś wystarczająco ostrożny ze swoją tożsamością.
• Jeśli jednak twoim zamiarem jest po prostu anonimowe przeglądanie losowych usług bez tworzenia określonych współdzielonych tożsamości, korzystając z usług przyjaznych dla Tora; lub jeśli nie chcesz zaakceptować tego kompromisu w poprzedniej opcji. W takim przypadku zalecam skorzystanie z trasy Tor Only, aby zachować pełne korzyści Stream Isolation (lub Tor over VPN, jeśli zajdzie taka potrzeba).
• Jeśli koszt jest problemem, polecam opcję Tor Only, jeśli to możliwe.
• Jeśli zarówno dostęp Tor, jak i VPN jest niemożliwy lub niebezpieczny, nie masz innego wyjścia, jak tylko bezpiecznie polegać na publicznych sieciach Wi-Fi. Zobacz Dodatek P: Jak najbezpieczniejszy dostęp do Internetu, gdy Tor i VPN nie są dostępne

Aby uzyskać więcej informacji, możesz również zapoznać się z dyskusjami tutaj, które mogą pomóc w podjęciu decyzji:

• Tor Project: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Dokumentacja Tails:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Dokumentacja Whonix (w tej kolejności):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Kilka artykułów na ten temat:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Uzyskaj anonimowy VPN/Proxy.

Pomiń ten krok, jeśli chcesz używać tylko Tora.


Zobacz Dodatek O: Uzyskaj anonimowy VPN/Proxy

Whonix.

Pomiń ten krok, jeśli nie możesz używać Tora.


Ta trasa będzie wykorzystywać wirtualizację i Whonix309 jako część procesu anonimizacji. Whonix to dystrybucja Linuksa składająca się z dwóch maszyn wirtualnych:

• Whonix Workstation (jest to maszyna wirtualna, na której można wykonywać wrażliwe działania)
• Whonix Gateway (ta maszyna wirtualna nawiąże połączenie z siecią Tor i przekieruje cały ruch sieciowy ze stacji roboczej przez sieć Tor).

W tym przewodniku zostaną zatem zaproponowane 2 warianty tej trasy:

• Trasa tylko Whonix, w której cały ruch jest kierowany przez sieć Tor (tylko Tor lub Tor przez VPN).

Trasa hybrydowa Whonix, w której cały ruch jest kierowany przez płatną gotówką / monero sieć VPN przez sieć Tor (VPN przez Tor lub VPN przez Tor przez VPN).

Będziesz mógł zdecydować, który wariant wybrać na podstawie moich zaleceń. Polecam drugą z nich, jak wyjaśniono wcześniej.


Whonix jest dobrze utrzymany i posiada obszerną i niezwykle szczegółową dokumentację.

Uwaga na temat migawek Virtualbox.

Później będziesz tworzyć i uruchamiać kilka maszyn wirtualnych w Virtualbox dla swoich wrażliwych działań. Virtualbox udostępnia funkcję zwaną "Snapshots", która pozwala na zapisanie stanu maszyny wirtualnej w dowolnym momencie. Jeśli z jakiegokolwiek powodu będziesz chciał wrócić do tego stanu, możesz przywrócić tę migawkę w dowolnym momencie.


Zdecydowanie zalecam skorzystanie z tej funkcji poprzez utworzenie migawki po początkowej instalacji / aktualizacji każdej maszyny wirtualnej. Ta migawka powinna być wykonana przed ich użyciem do jakiejkolwiek wrażliwej / anonimowej aktywności.


Umożliwi to przekształcenie maszyn wirtualnych w rodzaj jednorazowych "systemów operacyjnych na żywo" (takich jak omówiony wcześniej Tails). Oznacza to, że będziesz mógł usunąć wszystkie ślady swojej aktywności na maszynie wirtualnej, przywracając migawkę do wcześniejszego stanu. Oczywiście nie będzie to "tak dobre" jak w przypadku Tails (gdzie wszystko jest przechowywane w pamięci), ponieważ na dysku twardym mogą pozostać ślady tej aktywności. Badania kryminalistyczne wykazały możliwość odzyskania danych z przywróconej maszyny wirtualnej. Na szczęście istnieją sposoby na usunięcie tych śladów po usunięciu lub przywróceniu poprzedniej migawki. Takie techniki zostaną omówione w sekcji Niektóre dodatkowe środki przeciwko kryminalistyce tego przewodnika.

Pobierz narzędzia Virtualbox i Whonix.

Powinieneś pobrać kilka rzeczy w ramach systemu operacyjnego hosta.

• Najnowsza wersja instalatora Virtualbox zgodna z systemem operacyjnym hosta https://www.virtualbox.org/wiki/Downloads [Archive.org].
• (Pomiń to, jeśli nie możesz korzystać z Tora natywnie lub przez VPN) Najnowszy plik OVA Whonix z https://www.whonix.org/wiki/Download [Archive.org] zgodnie z preferencjami (Linux/Windows, z interfejsem pulpitu XFCE dla prostoty lub tylko z klientem tekstowym dla zaawansowanych użytkowników).

Na tym kończą się przygotowania i powinieneś być gotowy do rozpoczęcia konfigurowania ostatecznego środowiska, które będzie chronić twoją anonimowość online.

Zalecenia dotyczące utwardzania Virtualbox.

W celu zapewnienia idealnego bezpieczeństwa, należy postępować zgodnie z zaleceniami podanymi tutaj dla każdej maszyny wirtualnej Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Wyłącz Audio.
• Nie włączaj folderów współdzielonych.
• Nie włączaj akceleracji 2D. Wykonuje się to za pomocą następującego polecenia VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• Nie włączaj akceleracji 3D.
• Nie włączaj portu szeregowego.
• Odłącz napęd dyskietek.
• Odłącz napęd CD/DVD.
• Nie włączaj serwera zdalnego wyświetlania.
• Włącz PAE/NX (NX jest funkcją bezpieczeństwa).
• Wyłącz interfejs zaawansowanej konfiguracji i zasilania (ACPI). Tę czynność wykonuje się za pomocą następującego polecenia VBoxManage modifyvm "vm-id" --acpi on|off
• Nie podłączaj urządzeń USB.
• Wyłącz kontroler USB, który jest domyślnie włączony. Ustaw urządzenie wskazujące na "PS/2 Mouse" lub zmiany zostaną przywrócone.

Wreszcie, należy również postępować zgodnie z tym zaleceniem, aby zsynchronizować zegar maszyny wirtualnej z systemem operacyjnym hosta https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org].


Przesunięcie to powinno mieścić się w zakresie 60000 milisekund i powinno być różne dla każdej maszyny wirtualnej, a oto kilka przykładów (które można później zastosować do dowolnej maszyny wirtualnej):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Rozważ także zastosowanie tych środków łagodzących z VirtualBox w celu złagodzenia luk Spectre/Meltdown, uruchamiając to polecenie z katalogu programów VirtualBox. Wszystkie z nich opisano tutaj: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (należy pamiętać, że mogą one poważnie wpłynąć na wydajność maszyn wirtualnych, ale należy je wykonać w celu zapewnienia najlepszego bezpieczeństwa).


Na koniec warto rozważyć porady dotyczące bezpieczeństwa od Virtualbox tutaj https://www.virtualbox.org/manual/ch13.html [Archive.org].

 

[HEISENBERG]

Tor przez VPN.

Pomiń ten krok, jeśli nie zamierzasz korzystać z Tora przez VPN i zamierzasz korzystać tylko z Tora lub nie możesz.


Jeśli zamierzasz używać Tora przez VPN z jakiegokolwiek powodu. Najpierw musisz skonfigurować usługę VPN w systemie operacyjnym hosta.


Pamiętaj, że w tym przypadku zalecam posiadanie dwóch kont VPN. Oba opłacone gotówką/Monero (patrz Załącznik O: Uzyskaj anonimowy VPN/Proxy). Jedno z nich będzie używane w systemie operacyjnym hosta do pierwszego połączenia VPN. Drugie może być używane w maszynie wirtualnej do uzyskania VPN przez Tor przez VPN (Użytkownik > VPN > Tor > VPN).


Jeśli zamierzasz używać tylko Tor over VPN, potrzebujesz tylko jednego konta VPN.


Aby uzyskać instrukcje, zobacz Dodatek R: Instalowanie VPN na maszynie wirtualnej lub w systemie operacyjnym hosta.

 

[HEISENBERG]

Maszyny wirtualne Whonix.

Pomiń ten krok, jeśli nie możesz używać Tora.

• Uruchom Virtualbox w systemie operacyjnym hosta.
• Zaimportuj plik Whonix do Virtualbox zgodnie z instrukcjami na stronie https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
• Uruchom maszyny wirtualne Whonix

Pamiętaj na tym etapie, że jeśli masz problemy z połączeniem się z siecią Tor z powodu cenzury lub blokowania, powinieneś rozważyć połączenie za pomocą Bridges, jak wyjaśniono w tym samouczku https://www.whonix.org/wiki/Bridges [Archive.org].

• Zaktualizuj maszyny wirtualne Whonix, postępując zgodnie z instrukcjami na stronie https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org].
• Zamknij maszyny wirtualne Whonix
• Zrób migawkę zaktualizowanych maszyn wirtualnych Whonix w Virtualbox (wybierz maszynę wirtualną i kliknij przycisk Zrób migawkę). Więcej na ten temat później.
• Przejdź do następnego kroku

Ważna uwaga: Powinieneś również przeczytać te bardzo dobre zalecenia na stronie https://www.whonix.org/wiki/DoNot [Archive.org] , ponieważ większość z tych zasad będzie miała również zastosowanie do tego przewodnika. Powinieneś także przeczytać ich ogólną dokumentację tutaj https://www.whonix.org/wiki/Documentation [Archive.org] , która również zawiera mnóstwo porad podobnych do tego przewodnika.