Маршрут Whonix.
Выбор хостовой ОС (ОС, установленной на вашем ноутбуке).
В этом маршруте будут широко использоваться виртуальные машины, и для их работы потребуется ОС, на которой будет работать программное обеспечение виртуализации. В этой части руководства у вас есть 3 рекомендуемых варианта:
- Ваш дистрибутив Linux по выбору (за исключением Qubes OS)
- Windows 10 (предпочтительно Домашняя версия из-за отсутствия Bitlocker)
- MacOS (Catalina или выше).
Кроме того, высока вероятность того, что ваш Mac привязан или был привязан к учетной записи Apple (при покупке или после входа в систему), а значит, его уникальные аппаратные идентификаторы могут привести к вам в случае утечки аппаратных идентификаторов.
Linux также не всегда является лучшим выбором для обеспечения анонимности в зависимости от вашей модели угроз. Это связано с тем, что использование Windows позволяет нам легко применять Plausible Deniability (aka Deniable Encryption) на уровне ОС. Windows, к сожалению, одновременно является кошмаром конфиденциальности, но это единственный (удобный) вариант для использования правдоподобного отрицания на уровне ОС. Телеметрия и блокирование телеметрии в Windows также широко документированы, что должно смягчить многие проблемы.
Итак, что же такое правдоподобное отрицание? Это возможность сотрудничать с противником, запрашивающим доступ к вашему устройству/данным, не раскрывая свой настоящий секрет. И все это с использованием отрицаемого шифрования.
Мягкий законный противник может попросить у вас зашифрованный пароль от ноутбука. Сначала вы могли бы отказаться сообщить пароль (используя свое "право хранить молчание", "право не уличать себя"), но некоторые страны вводят законы, освобождающие от таких прав (потому что террористы и "подумайте о детях"). В этом случае вам придется раскрыть пароль или, возможно, получить тюремный срок за неуважение к суду. Вот тут-то и вступает в игру правдоподобное отрицание.
Вы можете раскрыть пароль, но этот пароль даст доступ только к "правдоподобным данным" (ложной ОС). Эксперты будут прекрасно знать, что у вас могут быть скрытые данные, но не смогут доказать это
(если вы все сделаете правильно). Вы будете сотрудничать, и у следователей будет доступ к чему-то, но не к тому, что вы на самом деле хотели скрыть. Поскольку бремя доказательства должно лежать на их стороне, у них не будет другого выбора, кроме как поверить вам, если у них не будет доказательств того, что вы скрываете данные.
Эту функцию можно использовать на уровне ОС (правдоподобная ОС и скрытая ОС) или на уровне файлов, где у вас будет зашифрованный файловый контейнер (похожий на zip-файл), в котором будут отображаться разные файлы в зависимости от используемого пароля шифрования.
Это также означает, что вы можете создать собственную продвинутую настройку "правдоподобного отрицания", используя любую хостовую ОС, храня, например, виртуальные машины в контейнере скрытых томов Veracrypt (будьте осторожны со следами в хостовой ОС, которые нужно будет очистить, если хостовая ОС постоянна, см. раздел "
Некоторые дополнительные меры против криминалистов" ниже). Существует проект для достижения этого в рамках Tails
(https://github.com/aforensics/HiddenVM [Archive.org]), который сделает вашу хостовую ОС непостоянной и использует правдоподобное отрицание в Tails.
В случае Windows правдоподобное отрицание также является причиной того, что в идеале вы должны иметь Windows 10 Home (а не Pro). Это связано с тем, что Windows 10 Pro предлагает систему шифрования всего диска (Bitlocker), а Windows 10 Home вообще не предлагает шифрования всего диска. Позже мы будем использовать стороннее программное обеспечение с открытым исходным кодом для шифрования, которое позволит шифровать полный диск в Windows 10 Home. Это даст вам хорошее (правдоподобное) оправдание для использования этого ПО. В то время как использование этого ПО на Windows 10 Pro будет подозрительным.
Заметка о Linux: Итак, что насчет Linux и правдоподобного отрицания? Да, в Linux тоже можно добиться правдоподобного отрицания. Но это сложно настроить и, IMHO, требует достаточно высокого уровня мастерства, чтобы вам не понадобилось это руководство, чтобы помочь вам попробовать.
К сожалению, шифрование - это не магия, и здесь есть определенные риски:
Угрозы, связанные с шифрованием.
Ключ за 5 долларов.
Помните, что шифрование с правдоподобным отрицанием или без него - это не серебряная пуля, и в случае пыток от него будет мало толку. На самом деле, в зависимости от того, кто будет вашим противником (ваша модель угрозы), может быть разумнее вообще не использовать Veracrypt (бывший TrueCrypt), как показано в этой демонстрации:
https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].
Правдоподобное отрицание эффективно только против мягких законных противников, которые не будут прибегать к физическим средствам.
По возможности избегайте использования программ, способных обеспечить правдоподобное отрицание (таких как Veracrypt), если ваша модель угроз включает жестких противников. Так, пользователям Windows в этом случае следует установить Windows Pro в качестве хостовой ОС и вместо нее использовать Bitlocker.
См. https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Без Викисклада] [Архив.org]
Атака злой горничной (Evil-Maid Attack).
Атаки "злой горничной" проводятся, когда кто-то возится с вашим ноутбуком, пока вас нет дома. Чтобы установить клонирование жесткого диска, установите вредоносное ПО или регистратор ключей. Если они смогут клонировать ваш жесткий диск, они смогут сравнить изображение жесткого диска в момент, когда они забрали его, пока вас не было дома, с изображением жесткого диска, когда они забрали его у вас. Если в промежутке вы снова пользовались ноутбуком, криминалисты смогут доказать существование скрытых данных, посмотрев на различия между двумя изображениями в том месте, которое должно быть пустым/неиспользуемым. Это может привести к убедительному доказательству существования скрытых данных. Если они установят на ваш ноутбук кейлоггер или вредоносное ПО (программное или аппаратное), они смогут просто получить от вас пароль, чтобы потом использовать его при изъятии. Такие атаки могут быть совершены у вас дома, в отеле, при пересечении границы или в любом другом месте, где вы оставляете свои устройства без присмотра.
Вы можете защитить себя от этой атаки, сделав следующее (как рекомендовалось ранее):
- Установите базовую защиту от вскрытия (как объяснялось ранее), чтобы предотвратить физический доступ к внутренним устройствам ноутбука без вашего ведома. Это не позволит им клонировать ваши диски и установить физический регистратор ключей без вашего ведома.
- Отключите все USB-порты (как объяснялось ранее) в BIOS/UEFI, защищенном паролем. В этом случае они не смогут включить их (без физического доступа к материнской плате для сброса настроек BIOS), чтобы загрузить USB-устройство, которое может клонировать ваш жесткий диск или установить вредоносное программное обеспечение, выполняющее функции регистратора ключей.
- Установите пароли BIOS/UEFI/Firmware, чтобы предотвратить несанкционированную загрузку неавторизованного устройства.
- Некоторые ОС и программы шифрования имеют защиту от EvilMaid, которую можно включить. Это относится к Windows/Veracrypt и QubeOS.
Атака холодной загрузки.
Атаки с холодной загрузкой сложнее, чем атаки Evil Maid, но они могут быть частью атаки Evil Maid, поскольку требуют, чтобы противник завладел вашим ноутбуком, пока вы активно используете устройство или вскоре после этого.
Идея довольно проста, как показано в этом видео, противник теоретически может быстро загрузить ваше устройство со специального USB-носителя, который скопирует содержимое RAM (памяти) устройства после того, как вы его выключите. Если USB-порты отключены или им нужно больше времени, они могут открыть устройство и "охладить" память с помощью спрея или других химических веществ (например, жидкого азота), предотвратив ее разрушение. Затем они смогут скопировать ее содержимое для анализа. В этом дампе памяти может содержаться ключ к расшифровке вашего устройства. Позже мы применим несколько принципов, чтобы смягчить эти проблемы.
Что касается правдоподобной отрицаемости, то было проведено несколько криминалистических исследований по техническому доказательству наличия скрытых данных с помощью простой криминалистической экспертизы (без холодной загрузки/атаки Злой горничной), но они были оспорены другими исследованиями и разработчиком Veracrypt, поэтому я бы пока не стал слишком беспокоиться по этому поводу.
Те же меры, которые используются для защиты от атак Evil Maid, должны применяться и для атак Cold Boot с некоторыми дополнениями:
- Если ваша ОС или программное обеспечение для шифрования позволяет это сделать, вы должны рассмотреть возможность шифрования ключей в оперативной памяти (это возможно в Windows/Veracrypt и будет объяснено позже).
- Вам следует ограничить использование режима ожидания Sleep и вместо него использовать Shutdown или Hibernate, чтобы ключи шифрования не оставались в оперативной памяти, когда компьютер переходит в спящий режим. Это связано с тем, что спящий режим будет поддерживать питание памяти для более быстрого возобновления работы. Только спящий режим и выключение действительно очистят ключ из памяти.
См. также
https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] и
https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].
Здесь также представлены некоторые интересные инструменты для защиты от этих атак для пользователей Linux:
О спящем режиме, гибернации и выключении.
Если вы хотите повысить уровень безопасности, вам следует полностью выключать ноутбук каждый раз, когда вы оставляете его без присмотра или закрываете крышку. Это очистит и/или освободит оперативную память и обеспечит защиту от атак "холодной загрузки". Однако это может быть немного неудобно, поскольку вам придется полностью перезагружаться и вводить тонну паролей в различных приложениях. Перезапускать различные виртуальные машины и другие приложения. Поэтому вместо этого можно использовать гибернацию (не поддерживается в Qubes OS). Поскольку весь диск зашифрован, гибернация сама по себе не представляет большого риска для безопасности, но все равно выключит ваш ноутбук и очистит память, позволяя вам удобно возобновить работу после этого.
Ни в коем случае не стоит использовать стандартную функцию сна, при которой компьютер остается включенным, а память работает. Это вектор атаки против атак evil-maid и cold-boot, о которых говорилось ранее. Это связано с тем, что во включенной памяти хранятся ключи шифрования диска (зашифрованные или нет), и опытный противник может получить к ним доступ.
Позже в этом руководстве будут приведены рекомендации по включению спящего режима на различных ОС хоста (кроме Qubes OS), если вы не хотите каждый раз выключаться.
Локальные утечки данных (следы) и криминалистическая экспертиза.
Как уже упоминалось ранее, это утечки данных и следы от операционной системы и приложений, когда вы выполняете какие-либо действия на компьютере. В основном они относятся к зашифрованным файловым контейнерам (с или без правдоподобного отрицания), а не к шифрованию всей ОС. Такие утечки менее "важны", если зашифрована вся ОС (если вы не вынуждены раскрывать пароль).
Допустим, у вас есть зашифрованный Veracrypt USB-носитель с включенной функцией правдоподобного отрицания. В зависимости от пароля, который вы используете при подключении USB-носителя, будет открыта папка-обманка или секретная папка. В этих папках будут находиться документы/данные из папки-обманки и конфиденциальные документы/данные из папки-обманки.
Во всех случаях вы (скорее всего) откроете эти папки с помощью проводника Windows, Finder MacOS или любой другой утилиты и сделаете все, что планировали. Возможно, вы будете редактировать документ в конфиденциальной папке. Возможно, вы будете искать документ в этой папке. Может быть, вы удалите один из них или посмотрите конфиденциальное видео с помощью VLC.
Все эти приложения и ваша операционная система могут сохранять журналы и следы такого использования. Это может включать полный путь к папке/файлам/диску, время обращения к ним, временные кэши этих файлов, списки "недавних" в каждом приложении, систему индексации файлов, которая может индексировать диск, и даже эскизы, которые могут быть сгенерированы.
Вот несколько примеров таких утечек:
Windows.
- Windows ShellBags, которые хранятся в реестре Windows, молчаливо сохраняя различные истории обращений к томам/файлам/папкам.
- Индексирование Windows, сохраняющее следы файлов, которые по умолчанию находятся в вашей пользовательской папке.
- Недавние списки (они же списки переходов) в Windows и различных приложениях, хранящие следы недавно просмотренных документов.
- Много других следов в различных журналах, пожалуйста, посмотрите этот удобный интересный плакат: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].
MacOS.
- Gatekeeper290 и XProtect, отслеживающие историю ваших загрузок в локальной базе данных и атрибуты файлов.
- Индексирование Spotlight
- Списки недавних событий в различных приложениях, хранящие следы недавно просмотренных документов.
- Временные папки, хранящие различные следы использования приложений и документов.
- Журналы MacOS
- ...
Linux.
- Индексирование трекеров
- История Bash
- Журналы USB
- Недавние списки в различных приложениях, хранящие следы недавно просмотренных документов.
- Журналы Linux
- ...
Криминалисты могут использовать все эти утечки (см. раздел
"Локальные утечки данных и криминалистика"), чтобы доказать существование скрытых данных и разрушить ваши попытки использовать правдоподобное отрицание и узнать о ваших различных конфиденциальных действиях.
Поэтому важно предпринять различные шаги, чтобы помешать криминалистам сделать это, предотвращая и очищая эти утечки/следы и, что более важно, используя шифрование всего диска, виртуализацию и компартментализацию.
Криминалисты не смогут извлечь локальные утечки данных из ОС, к которой они не имеют доступа. И большинство этих следов можно убрать, стерев диск или безопасно стерев виртуальные машины (что не так просто, как кажется, на SSD-дисках).
Тем не менее, некоторые методы очистки будут рассмотрены в части "Заметание следов" в самом конце этого руководства.
Утечки данных в Интернете.
Независимо от того, используете ли вы простое шифрование или шифрование с вероятностью отрицания. Даже если вы заметаете следы на самом компьютере. Все равно существует риск утечки данных в Интернете, которая может выявить наличие скрытых данных.
Телеметрия - ваш враг. Как объяснялось ранее в этом руководстве, телеметрия операционных систем, а также приложений может передавать в сеть ошеломляющие объемы конфиденциальной информации.
В случае с Windows эти данные могут быть использованы, например, для доказательства существования скрытой ОС/тома на компьютере и будут легко доступны в Microsoft. Поэтому очень важно отключить и заблокировать телеметрию всеми доступными средствами. Неважно, какую ОС вы используете.
Заключение.
Вы никогда не должны выполнять конфиденциальные действия с незашифрованной системы. И даже если она зашифрована, вы, вероятно, никогда не должны выполнять конфиденциальные действия из самой хостовой ОС. Вместо этого следует использовать виртуальную машину, чтобы иметь возможность эффективно изолировать и разделить свою деятельность и предотвратить локальные утечки данных.
Если у вас мало или совсем нет знаний о Linux или вы хотите использовать правдоподобное отрицание для всей ОС, я бы рекомендовал использовать Windows (или вернуться к маршруту Tails) для удобства. Это руководство поможет вам максимально усилить его, чтобы предотвратить утечки. Это руководство также поможет вам максимально усилить MacOS и Linux для предотвращения аналогичных утечек.
Если вы не заинтересованы в правдоподобном опровержении информации в масштабах всей ОС и хотите научиться использовать Linux, я бы настоятельно рекомендовал использовать Linux или Qubes, если ваше оборудование позволяет это сделать.
В любом случае, хостовая ОС никогда не должна использоваться для выполнения конфиденциальной деятельности напрямую. Хост ОС будет использоваться только для подключения к публичной точке доступа Wi-Fi. Она не будет использоваться во время выполнения конфиденциальных действий и в идеале не должна применяться для повседневной работы.
Почитайте также
https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]
