Tails.
O Tails é excelente para isso; você não precisa se preocupar com nada, mesmo que use uma unidade SSD. Desligue-o e tudo desaparecerá assim que a memória se deteriorar.
Whonix.
Observe que é possível executar o Whonix no modo Live sem deixar rastros ao desligar as VMs; considere ler a documentação aqui
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] e aqui
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Sistema operacional convidado.
Reverta para um snapshot anterior no Virtualbox (ou em qualquer outro software de VM que esteja usando) e execute um comando Trim no Mac usando o Utilitário de Disco, executando um first-aid no sistema operacional host novamente, conforme explicado no final da próxima seção.
Sistema operacional host.
A maioria das informações desta seção também pode ser encontrada neste bom guia
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]
Banco de dados de quarentena (usado pelo Gatekeeper e pelo XProtect).
O MacOS (até o Big Sur, inclusive) mantém um banco de dados SQL de quarentena de todos os arquivos que você já baixou de um navegador. Esse banco de dados está localizado em ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Você mesmo pode consultá-lo executando o seguinte comando no terminal: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"
Obviamente, essa é uma mina de ouro para a ciência forense e você deve desativá-la:
- Execute o seguinte comando para limpar completamente o banco de dados: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Execute o seguinte comando para bloquear o arquivo e impedir que outros históricos de download sejam gravados nele: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Por fim, você também pode desativar completamente o Gatekeeper executando o seguinte comando no terminal:
- sudo spctl --master-disable
Consulte esta seção deste guia para obter mais informações
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org]
Além desse conveniente banco de dados, cada arquivo salvo também terá atributos HFS+/APFS detalhados do sistema de arquivos, mostrando, por exemplo, quando foi baixado, com o quê e de onde.
Para visualizar esses atributos, basta abrir um terminal e digitar mdls filename e xattr -l filename em qualquer arquivo baixado de qualquer navegador.
Para remover esses atributos, você terá que fazer isso manualmente no terminal:
- Execute xattr -d com.apple.metadata:kMDItemWhereFroms filename para remover a origem
- Você também pode usar -dr para fazer isso recursivamente em uma pasta/disco inteiro
- Execute xattr -d com.apple.quarantine filename para remover a referência de quarentena
- Você também pode usar apenas -dr para fazer isso recursivamente em uma pasta/disco inteiro
- Verifique executando xattr --l filename e não deverá haver saída
(Observe que a Apple removeu a conveniente opção xattr -c, que removeria todos os atributos de uma só vez, portanto você terá que fazer isso para cada atributo em cada arquivo)
Esses atributos e entradas serão mantidos mesmo que você limpe o histórico do navegador, o que obviamente é ruim para a privacidade (certo?) e não tenho conhecimento de nenhuma ferramenta conveniente que possa lidar com eles no momento.
Felizmente, há algumas atenuações para evitar esse problema em primeiro lugar, pois esses atributos e entradas são definidos pelos navegadores. Portanto, testei vários navegadores (no MacOS Catalina e no Big Sur) e aqui estão os resultados até a data deste guia:
| Navegador | Entrada do BD de quarentena | Atributo do arquivo de quarentena | Atributo do arquivo de origem |
|---|
| Safari (Normal) | Sim | Sim | Sim |
| Safari (janela privada) | Não | Não | Não |
| Firefox (Normal) | Sim | Sim | Sim |
| Firefox (janela privada) | Não | Não | Não |
| Chrome (Normal) | Sim | Sim | Sim |
| Chrome (janela privada) | Parcial (somente carimbo de data/hora) | Não | Não |
| Ungoogled-Chromium (Normal) | Não | Não | Não |
| Ungoogled-Chromium (janela privada) | Não | Não | Não |
| Brave (Normal) | Parcial (somente carimbo de data/hora) | Não | Não |
| Brave (janela privada) | Parcial (somente carimbo de data/hora) | Não | Não |
| Brave (janela do Tor) | Parcial (somente carimbo de data/hora) | Não | Não |
| Navegador Tor | Não | Não | Não |
Como você pode ver, a atenuação mais fácil é usar apenas o Private Windows. Eles não gravam esses atributos de origem/quarentena e não armazenam as entradas no banco de dados QuarantineEventsV2.
Limpar o QuarantineEventsV2 é fácil, conforme explicado acima. A remoção dos atributos requer algum trabalho.
O Brave é o único navegador testado que não armazena esses atributos por padrão em operações normais.
Vários artefatos.
Além disso, o MacOS mantém vários registros de dispositivos montados, dispositivos conectados, redes conhecidas, análises, revisões de documentos...
Consulte esta seção deste guia para obter orientação sobre onde encontrar e como excluir esses artefatos:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org]
Muitos deles podem ser excluídos com o uso de várias ferramentas comerciais de terceiros, mas eu pessoalmente recomendaria o uso do Onyx, gratuito e bem conhecido, que pode ser encontrado aqui:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. Infelizmente, ela é de código fechado, mas é registrada em cartório, assinada e tem sido confiável por muitos anos.
Force uma operação Trim após a limpeza.
- Se o seu sistema de arquivos for APFS, você não precisará se preocupar com o Trim, pois ele ocorre de forma assíncrona à medida que o sistema operacional grava dados.
- Se o seu sistema de arquivos for HFS+ (ou qualquer outro que não seja APFS), você poderá executar o First Aid na unidade do sistema a partir do Utilitário de Disco, que deverá executar uma operação de corte nos detalhes(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Considere suas diretrizes
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org]
Se estiver usando o Whonix no Qubes OS, considere seguir alguns de seus guias:
Linux (não Qubes).
Sistema operacional convidado.
Reverta para um instantâneo anterior da VM convidada no Virtualbox (ou em qualquer outro software de VM que esteja usando) e execute um comando trim em seu laptop usando fstrim --all. Esse utilitário faz parte do pacote util-linux no Debian/Ubuntu e deve ser instalado por padrão no Fedora. Em seguida, passe para a próxima seção.
Sistema operacional host.
Normalmente, você não deve ter rastros para limpar dentro do sistema operacional host, pois estará fazendo tudo a partir de uma VM se seguir este guia.
No entanto, talvez você queira limpar alguns registros. Basta usar esta ferramenta conveniente:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (instruções na página, para fazer o download vá para as versões, esse repositório foi removido recentemente)
Após a limpeza, verifique se você tem o utilitário fstrim instalado (deve estar instalado por padrão no Fedora) e parte do pacote util-linux no Debian/Ubuntu. Em seguida, basta executar fstrim --all no sistema operacional host. Isso deve ser suficiente em unidades SSD, conforme explicado anteriormente.
Considere o uso do Linux Kernel Guard como uma medida adicional
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org]
Windows.
Sistema operacional convidado.
Reverta para um snapshot anterior no Virtualbox (ou qualquer outro software de VM que esteja usando) e execute um comando trim no Windows usando o Optimize, conforme explicado no final da próxima seção
Sistema operacional host.
Agora que você realizou várias atividades com suas VMs ou com o sistema operacional host, é necessário reservar um momento para cobrir seus rastros.
A maioria dessas etapas não deve ser realizada no sistema operacional Decoy em caso de uso de negação plausível. Isso se deve ao fato de que você deseja manter os rastros de atividades sensatas, mas não secretas, disponíveis para o seu adversário. Se tudo estiver limpo, você poderá levantar suspeitas.
Dados de diagnóstico e telemetria.
Primeiro, vamos nos livrar de todos os dados de diagnóstico que ainda possam estar lá:
(Pule esta etapa se estiver usando o Windows 10 AME)
- Após cada uso de seus dispositivos Windows, vá para Configurações, Privacidade, Diagnóstico e feedback e clique em Excluir.
Em seguida, vamos randomizar novamente os endereços MAC de suas máquinas virtuais e o endereço Bluetooth de seu sistema operacional host.
- Após cada desligamento de sua VM do Windows, altere seu endereço MAC para a próxima vez acessando o Virtualbox > Selecione a VM > Configurações > Rede > Avançado > Atualizar o endereço MAC.
- Após cada uso do sistema operacional host Windows (sua VM não deve ter Bluetooth), acesse o Gerenciador de dispositivos, selecione Bluetooth, desative o dispositivo e reative o dispositivo (isso forçará uma randomização do endereço Bluetooth).
Registros de eventos.
Os logs de eventos do Windows mantêm várias informações que podem conter vestígios de suas atividades, como os dispositivos que foram montados (incluindo volumes Veracrypt NTFS, por
exemplo294), suas conexões de rede, informações sobre falhas de aplicativos e vários erros. É sempre melhor limpar essas informações regularmente. Não faça isso no sistema operacional Decoy.
- Inicie, procure por Event Viewer e abra o Event Viewer:
- Vá para os registros do Windows.
- Selecione e limpe todos os 5 registros usando o botão direito do mouse.
Histórico do Veracrypt.
Por padrão, o Veracrypt salva um histórico de volumes e arquivos montados recentemente. Você deve certificar-se de que o Veracrypt nunca salve o histórico. Novamente, não faça isso no sistema operacional Decoy se estiver usando uma negação plausível para o sistema operacional. Precisamos manter o histórico de montagem do volume decoy como parte da negação plausível.
- Inicie o Veracrypt
- Certifique-se de que a caixa de seleção "Never saves history" (Nunca salvar histórico) esteja marcada (isso não deve ser marcado no sistema operacional de engodo).
Agora você deve limpar o histórico de qualquer aplicativo que tenha usado, incluindo histórico do navegador, cookies, senhas salvas, sessões e histórico de formulários.
Histórico do navegador.
- Brave (caso você não tenha ativado a limpeza ao sair)
- Vá para Configurações
- Vá para Escudos
- Vá para Limpar dados de navegação
- Selecione Avançado
- Selecione "All Time" (Todo o tempo)
- Marque todas as opções
- Limpar dados
- Navegador Tor
- Basta fechar o Navegador e tudo estará limpo
Histórico do Wi-Fi.
Agora é hora de limpar o histórico do Wi-Fi ao qual você se conecta. Infelizmente, o Windows continua armazenando uma lista de redes anteriores no registro, mesmo que você as tenha "esquecido" nas configurações de Wi-Fi. Até onde eu sei, nenhum utilitário limpa isso ainda (BleachBit ou PrivaZer, por exemplo), portanto, você terá que fazer isso manualmente:
- Inicie o Regedit usando este tutorial: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org]
- No Regedit, digite o seguinte na barra de endereços: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Lá você verá várias pastas à direita. Cada uma dessas pastas é uma "chave". Cada uma dessas chaves conterá informações sobre seu Wi-Fi conhecido atual ou redes anteriores que você usou. Você pode explorá-las uma a uma e ver a descrição no lado direito.
- Exclua todas essas chaves.
Shellbags.
Conforme explicado anteriormente, os Shellbags são basicamente históricos de volumes/arquivos acessados em seu computador. Lembre-se de que os shellbags são fontes muito boas de informações para a
perícia287 e você precisa limpá-los. Especialmente se você montou algum "volume oculto" em algum lugar. Novamente, você não deve fazer isso no sistema operacional Decoy.
- Faça o download do Shellbag Analyzer & Cleaner em https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org]
- Inicie-o
- Analisar
- Clique em Clean (Limpar) e selecione:
- Deleted Folders (Pastas excluídas)
- Pastas na rede/dispositivos externos
- Resultados da pesquisa
- Selecione avançado
- Marque todas as opções, exceto as duas opções de backup (não fazer backup)
- Selecione SSD cleanup (se você tiver um SSD)
- Selecione 1 passagem (Tudo zero)
- Limpar
Ferramentas extras de limpeza.
Depois de limpar esses rastros anteriores, você também deve usar utilitários de terceiros que podem ser usados para limpar vários rastros. Isso inclui os rastros dos arquivos/pastas que você excluiu.
Consulte o
Apêndice H: Ferramentas de limpeza do Windows antes de continuar.
PrivaZer.
Aqui estão as etapas para o PrivaZer:
- Faça download e instale o PrivaZer em https://privazer.com/en/download.php [Archive.org]
- Execute o PrivaZer após a instalação
- Não use o assistente
- Selecione Usuário avançado
- Selecione Scan in Depth e escolha seu alvo
- Selecione tudo o que você deseja verificar e pressione Scan (Verificar)
- Selecione o que você deseja limpar (pule a parte do shell bag, pois você usou o outro utilitário para isso)
- Você deve pular a parte de limpeza do espaço livre se estiver usando um SSD e, em vez disso, usar a função nativa de otimização do Windows (veja abaixo), que deve ser mais do que suficiente. Eu só usaria isso em uma unidade de disco rígido.
- (Se você selecionou Limpeza de espaço livre) Selecione Opções de limpeza e verifique se o tipo de armazenamento foi bem detectado (HDD vs. SSD).
- (Se você selecionou Limpeza de espaço livre) Em Opções de limpeza (Tenha cuidado com essa opção, pois ela apagará todo o espaço livre na partição selecionada, especialmente se você estiver executando o sistema operacional decoy. Não apague o espaço livre ou qualquer outra coisa na segunda partição, pois você corre o risco de destruir o sistema operacional oculto)
- Se você tiver uma unidade SSD:
- Guia Secure Overwriting (Substituição segura): Pessoalmente, eu escolheria apenas a exclusão normal + corte (o corte em si deve ser suficiente). A exclusão segura com corte (1 passagem) pode ser redundante e exagerada aqui se você pretende substituir o espaço livre de qualquer forma.
- Guia Espaço livre: Pessoalmente, e novamente "só para ter certeza", eu selecionaria a Limpeza normal, que preencherá todo o espaço livre com dados. Eu realmente não confio na Limpeza inteligente, pois ela não preenche todo o espaço livre da SSD com dados. Mas, novamente, acho que isso provavelmente não é necessário e é um exagero na maioria dos casos.
- Se você tiver uma unidade de HDD:
- Guia Secure Overwriting (Substituição segura): Eu escolheria apenas Exclusão segura (1 passagem).
- Espaço livre: Eu escolheria apenas Smart Cleanup, pois não há motivo para sobrescrever setores sem dados em uma unidade de HDD.
- Selecione Clean (Limpar) e escolha sua opção:
- A Turbo Cleanup só fará a exclusão normal (em HDD/SSD) e não limpará o espaço livre. Ela não é segura em um HDD nem em um SSD.
- O Quick Cleanup fará a exclusão segura (no HDD) e a exclusão normal + corte (no SSD), mas não limpará o espaço livre. Acho que isso é seguro o suficiente para SSD, mas não para HDD.
- A opção Normal Cleanup fará a exclusão segura (no HDD) e a exclusão normal + corte (no SSD) e, em seguida, limpará todo o espaço livre (Smart Cleanup no HDD e Full Cleanup no SSD) e deverá ser segura. Acho que essa opção é a melhor para HDD, mas completamente exagerada para SSD.
- Clique em Clean (Limpar) e aguarde a conclusão da limpeza. Pode demorar um pouco e preencherá todo o espaço livre com dados.
BleachBit.
Aqui estão as etapas para o BleachBit:
- Obtenha e instale a versão mais recente do BleachBit aqui https://www.bleachbit.org/download [Archive.org]
- Execute o BleachBit
- Limpe pelo menos tudo o que estiver nessas seções:
- Varredura profunda
- Windows Defender
- Windows Explorer (incluindo Shellbags)
- Sistema
- Selecione quaisquer outros rastros que deseja remover da lista
- Novamente, como no caso do utilitário anterior, eu não limparia o espaço livre em uma unidade SSD, pois acho que o utilitário "otimizar" nativo do Windows é suficiente (veja abaixo) e que preencher o espaço livre em um SSD com trim habilitado é um exagero e desnecessário.
- Clique em Clean (Limpar) e aguarde. Isso demorará um pouco e preencherá todo o espaço livre com dados nas unidades HDD e SSD.
Forçar um corte com o Windows Optimize (para unidades SSD).
Com esse utilitário nativo do Windows 10, você pode simplesmente acionar um Trim no seu SSD, o que deve ser mais do que suficiente para limpar com segurança todos os arquivos excluídos que, de alguma forma, teriam escapado do Trim ao serem excluídos.
Basta abrir o Windows Explorer, clicar com o botão direito do mouse na unidade do sistema e clicar em Propriedades. Selecione Tools (Ferramentas). Clique em Otimizar e depois em Otimizar novamente. Pronto. Na minha opinião, isso é suficiente.
