Руководство по анонимности в Интернете (по https://anonymousplanet.org/)

Используйте на свой страх и риск. Пожалуйста, не воспринимайте это руководство как окончательную истину на все случаи жизни, потому что это не так.
  • Введение:
  • Понимание некоторых основ того, как некоторая информация может привести к вам, и как смягчить некоторые из них:
    • Ваша сеть:
      • Ваш IP-адрес:
      • Ваши DNS и IP-запросы:
      • Ваши устройства с поддержкой RFID:
      • Wi-Fis и Bluetooth устройства вокруг вас:
      • Вредоносные/изнасилованные точки доступа Wi-Fi:
      • Ваш анонимизированный Tor/VPN-трафик:
      • Некоторые устройства можно отслеживать даже в автономном режиме:
    • Ваши аппаратные идентификаторы:
      • Ваши IMEI и IMSI (и, соответственно, номер телефона):
      • Ваш MAC-адрес Wi-Fi или Ethernet:
      • MAC-адрес Bluetooth:
    • Ваш процессор:
    • Ваши операционные системы и телеметрические сервисы приложений:
    • Ваши "умные" устройства в целом:
    • Вы сами:
      • Ваши метаданные, включая геолокацию:
      • Ваш цифровой отпечаток, след и поведение в сети:
      • Ваши подсказки о вашей реальной жизни и OSINT:
      • Ваше лицо, голос, биометрические данные и фотографии:
      • Фишинг и социальная инженерия:
    • Вредоносное ПО, эксплойты и вирусы:
      • Вредоносное ПО в ваших файлах/документах/электронных письмах:
      • Вредоносные программы и эксплойты в ваших приложениях и сервисах:
      • Вредоносные USB-устройства:
      • Вредоносные программы и бэкдоры в вашем аппаратном обеспечении и операционной системе:
    • Ваши файлы, документы, изображения и видео:
      • Свойства и метаданные:
      • Водяные знаки:
      • Пикселизированная или размытая информация:
    • Ваши транзакции с криптовалютами:
    • Ваши облачные сервисы резервного копирования/синхронизации:
    • Отпечатки пальцев вашего браузера и устройства:
    • Локальные утечки данных и криминалистика:
    • Плохая криптография:
    • Политики "не регистрировать, но регистрировать в любом случае":
    • Некоторые продвинутые целевые техники:
    • Некоторые бонусные ресурсы:
    • Примечания:
  • Общие приготовления:
    • Выбор маршрута:
      • Ограничения по времени:
      • Бюджет/материальные ограничения:
      • Навыки:
      • Противники (угрозы):
    • Шаги для всех маршрутов:
      • Получить анонимный номер телефона:
      • Достаньте USB-носитель:
      • Найдите несколько безопасных мест с приличным общественным Wi-Fi:
    • Маршрут TAILS:
      • Постоянная правдоподобная отрицаемость с помощью Whonix в TAILS:
    • Шаги для всех остальных маршрутов:
      • Купите специальный ноутбук для конфиденциальной деятельности:
      • Некоторые рекомендации по выбору ноутбука:
      • Настройки Bios/UEFI/Firmware вашего ноутбука:
      • Физически защитите свой ноутбук от несанкционированного доступа:
    • Маршрут Whonix:
      • Выбор операционной системы (ОС, установленной на ноутбуке):
      • Linux Host OS:
      • MacOS Host OS:
      • Windows Host OS:
      • Virtualbox на вашей Host OS:
      • Выберите способ подключения:
      • Получите анонимный VPN/прокси:
      • Whonix:
      • Tor через VPN:
      • Whonix Виртуальные машины:
      • Выберите виртуальную машину для гостевой рабочей станции:
      • Виртуальная машина Linux (Whonix или Linux):
      • Windows 10 Виртуальная машина:
      • Android Виртуальная машина:
      • MacOS Виртуальная машина:
      • KeepassXC:
      • Установка VPN-клиента (оплачивается наличными/монеро):
      • (опционально) позволяет только виртуальным машинам выходить в интернет, отрезая ОС хоста, чтобы предотвратить утечку данных:
      • Последний шаг:
    • Qubes Route:
      • Выберите способ подключения:
      • Получите анонимный VPN/прокси:
      • Установка:
      • Поведение при закрытии крышки:
      • Подключение к публичному Wi-Fi:
      • Обновление ОС Qubes:
      • Усиление ОС Qubes:
      • Настройка VPN ProxyVM:
      • Настройка безопасного браузера в Qube OS (необязательно, но рекомендуется):
      • Настройка виртуальной машины Android:
      • KeePassXC:
  • Создание анонимной личности в Интернете:
    • Понимание методов, используемых для предотвращения анонимности и проверки личности:
      • Captchas:
      • Проверка телефона:
      • Проверка электронной почты:
      • Проверка данных пользователя:
      • Проверка удостоверения личности:
      • IP-фильтры:
      • Отпечатки пальцев браузера и устройства:
      • Взаимодействие с человеком:
      • Модерация пользователей:
      • Поведенческий анализ:
      • Финансовые транзакции:
      • Вход в систему с помощью какой-либо платформы:
      • Распознавание живых лиц и биометрия (снова):
      • Ручные отзывы:
    • Выход в Интернет:
      • Создание новых личностей:
      • Система реальных имен:
      • О платных услугах:
      • Обзор:
      • Как обмениваться файлами или общаться анонимно:
      • Безопасное редактирование документов/картинок/видео/аудио:
      • Передача конфиденциальной информации в различные известные организации:
      • Задачи по обслуживанию:
  • Безопасное резервное копирование:
    • Резервное копирование в автономном режиме:
      • Резервное копирование избранных файлов:
      • Полное резервное копирование диска/системы:
    • Онлайн-резервное копирование:
      • Файлы:
      • Информация:
    • Синхронизация файлов между устройствами Онлайн:
  • Заметание следов:
    • Понимание соотношения HDD и SSD:
      • Уменьшение износа.
      • Операции обрезки:
      • Сборка мусора:
      • Заключение:
    • Как безопасно стереть весь ноутбук/диск, если вы хотите стереть все:
      • Linux (все версии, включая Qubes OS):
      • Windows:
      • MacOS:
    • Как безопасно удалить определенные файлы/папки/данные на HDD/SSD и флеш-накопителях:
      • Windows:
      • Linux (не Qubes OS):
      • Linux (Qubes OS):
      • MacOS:
    • Некоторые дополнительные меры против криминалистов:
      • Удаление метаданных из файлов/документов/картинок:
      • TAILS:
      • Whonix:
      • MacOS:
      • Linux (Qubes OS):
      • Linux (не Qubes):
      • Windows:
    • Удаление некоторых следов вашей личности в поисковых системах и на различных платформах:
      • Google:
      • Bing:
      • DuckDuckGo:
      • Яндекс:
      • Qwant:
      • Yahoo Search:
      • Baidu:
      • Википедия:
      • Archive.today:
      • Internet Archive:
  • Некоторые низкотехнологичные приемы старой школы:
    • Скрытые коммуникации на виду:
    • Как определить, что кто-то рылся в ваших вещах:
  • Несколько последних мыслей об OPSEC:
  • Если вам кажется, что вы спалились:
    • Если у вас есть время:
    • Если у вас нет времени:
  • Небольшая заключительная редакционная заметка
 
Last edited by a moderator:

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Бюджет/материальные ограничения.


  • У вас есть только один ноутбук, и вы не можете позволить себе ничего другого. Вы используете этот ноутбук либо для работы, либо для семьи, либо для личных дел (или для того и другого):
    • Лучшим вариантом для вас будет путь Tails.
  • Вы можете позволить себе запасной выделенный ноутбук без присмотра и контроля для конфиденциальной деятельности:
    • Но он старый, медленный и имеет плохие характеристики (менее 6 ГБ оперативной памяти, менее 250 ГБ дискового пространства, старый/медленный процессор):
      • Вам стоит выбрать Tails.
    • Он не такой старый и имеет достойные характеристики (не менее 6 ГБ оперативной памяти, 250 ГБ дискового пространства или больше, достойный процессор):
      • Вы можете выбрать маршруты Tails, Whonix.
    • Это новая система с отличными характеристиками (более 8 ГБ оперативной памяти, >250 ГБ дискового пространства, новый быстрый процессор):
      • Вы можете выбрать любой маршрут, но я бы рекомендовал Qubes OS, если ваша модель угроз позволяет это сделать.
    • Если это M1 Mac на базе ARM:
      • В настоящее время это невозможно по этим причинам:
        • Виртуализация x86-образов на ARM M1 Mac все еще ограничена коммерческим программным обеспечением (Parallels), которое пока не поддерживается Whonix.
        • Virtualbox пока недоступен для архитектуры ARM.
        • Whonix пока не поддерживается на архитектуре ARM.
        • Tails пока не поддерживается на архитектуре ARM.
        • Qubes OS пока не поддерживается на архитектуре ARM.

Вероятно, единственным вариантом на M1 Mac пока остается Tor Browses. Но я бы предположил, что если вы можете позволить себе M1 Mac, вам, вероятно, следует приобрести специализированный ноутбук x86 для более чувствительной деятельности.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Навыки.


  • Вы совсем не разбираетесь в ИТ, и содержание этого руководства кажется вам чужим языком?
    • Вам следует выбрать путь Хвоста (за исключением раздела о постоянном правдоподобном отрицании).
  • Вы обладаете некоторыми навыками в области информационных технологий и пока что в основном понимаете это руководство
    • Вам следует выбрать маршрут Tails (включая раздел "Устойчивое правдоподобное отрицание") или Whonix.
  • Вы обладаете средними или высокими навыками в области информационных технологий и уже знакомы с некоторым содержанием этого руководства
    • Вы можете выбрать что угодно, но я бы настоятельно рекомендовал Qubes OS.
  • Вы - хакер l33T, "ложки нет", "торт - ложь", вы годами используете "doas" и "все ваши базы принадлежат нам", и у вас есть сильное мнение о systemd.
    • Это руководство не предназначено для вас и не поможет вам с вашей HardenedBSD на вашем hardened Libreboot ноутбуке ;-)

 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Противники (угрозы).


  • Если ваша главная задача - криминалистическая экспертиза ваших устройств:
    • Вам следует пойти по пути Tails (с опциональным постоянным правдоподобным отрицанием).
  • Если вас беспокоят удаленные противники, которые могут раскрыть вашу онлайн-личность на различных платформах:
    • Вы можете пойти по пути Whonix или Qubes OS.
    • Вы также можете использовать Tails (с опциональным постоянным правдоподобным отрицанием).
  • Если вы хотите, чтобы, несмотря на все риски, вам была доступна вся система:
    • Вы можете пойти по пути Tails, включая раздел постоянного правдоподобного отрицания.
    • Вы можете пойти по пути Whonix (только на Windows Host OS в рамках данного руководства).
  • Если вы находитесь во враждебном окружении, где использование Tor/VPN само по себе невозможно/опасно/подозрительно:
    • Вы можете пойти по пути Tails (без использования Tor).
    • Вы можете пойти по пути Whonix или Qubes OS (не используя Whonix).

В любом случае, вам следует прочитать эти две страницы из документации Whonix, которые дадут вам глубокое понимание вашего выбора:



Возможно, вы спрашиваете себя: "Как узнать, что я нахожусь во враждебной онлайн-среде, где деятельность активно отслеживается и блокируется?"


 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Шаги для всех маршрутов.


Привыкните использовать лучшие пароли.


См. Приложение A2: Руководство по паролям и кодовым фразам.


Получите анонимный номер телефона.


Пропустите этот шаг, если вы не собираетесь создавать анонимные аккаунты на большинстве основных платформ, а просто хотите анонимно просматривать сайты, или если платформы, которые вы будете использовать, позволяют регистрироваться без номера телефона.


Физический телефон Burner Phone и предоплаченная SIM-карта.


Приобретите телефон-"горелку".


Это довольно просто. Оставьте свой смартфон выключенным или обесточьте его перед уходом. Возьмите немного денег и отправляйтесь на случайный блошиный рынок или в небольшой магазин (в идеале - без камер видеонаблюдения внутри или снаружи, и чтобы вас не сфотографировали/сняли) и просто купите самый дешевый телефон, который сможете найти за наличные и без предоставления какой-либо личной информации. Он должен быть только в рабочем состоянии.


Лично я бы рекомендовал купить старый "тупой" телефон со съемной батареей (старый Nokia, если ваши мобильные сети все еще позволяют подключаться к ним, поскольку в некоторых странах полностью отказались от 1G-2G). Это необходимо для того, чтобы избежать автоматической отправки/собирания любых телеметрических/диагностических данных на самом телефоне. Не следует подключать телефон к Wi-Fi.


Также очень важно не включать этот телефон (даже без SIM-карты) в любом географическом месте, которое может привести к вам (например, дома/на работе), и никогда не находиться в том же месте, что и другой ваш известный смартфон (потому что у него есть IMEI/IMSI, который легко приведет к вам). Это может показаться большой нагрузкой, но это не так, поскольку эти телефоны используются только в процессе настройки/подписки и для проверки время от времени.


См. Приложение N: Предупреждение о смартфонах и смарт-устройствах


Прежде чем переходить к следующему шагу, необходимо убедиться, что телефон находится в рабочем состоянии. Но я повторюсь и еще раз скажу, что важно оставить смартфон дома (или выключить его перед уходом, если вы должны его оставить) и проверить телефон в случайном месте, которое нельзя отследить (и еще раз, не делайте этого перед камерами видеонаблюдения, избегайте камер, будьте внимательны к своему окружению). Wi-Fi в этом месте также не нужен.


Когда вы убедитесь, что телефон в рабочем состоянии, отключите Bluetooth, затем выключите его (выньте аккумулятор, если можете) и вернитесь домой, чтобы вернуться к своим обычным делам. Перейдите к следующему шагу.


Приобретите анонимную предоплаченную SIM-карту.


Это самая сложная часть всего руководства. Это SPOF (Single Point of Failure). Места, где вы все еще можете купить предоплаченные SIM-карты без регистрации ID, становятся все более ограниченными из-за различных правил типа KYC.


Вот список мест, где вы все еще можете их приобрести: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org].


Вы должны быть в состоянии найти место, которое находится "не слишком далеко", и просто пойти туда физически, чтобы купить несколько предоплаченных карт и пополнить ваучеры наличными. Перед поездкой убедитесь, что не был принят закон, который сделает регистрацию обязательной (на случай, если вышеупомянутая Вики не обновлялась). Старайтесь избегать камер видеонаблюдения и не забудьте купить ваучер на пополнение баланса вместе с SIM-картой (если она не входит в пакет), так как большинство предоплаченных карт требуют пополнения баланса перед использованием.


См. Приложение N: Предупреждение о смартфонах и смарт-устройствах


Прежде чем отправиться туда, дважды проверьте, что операторы мобильной связи, продающие предоплаченные SIM-карты, примут активацию SIM-карты и пополнение счета без какой-либо регистрации личности. В идеале они должны принимать активацию и пополнение SIM-карты из страны, в которой вы проживаете.


Лично я рекомендую GiffGaff в Великобритании, так как они "доступные", не требуют идентификации для активации и пополнения счета и даже позволяют менять номер до 2 раз с их сайта. Таким образом, одна предоплаченная SIM-карта GiffGaff предоставит вам 3 номера, которые вы сможете использовать для своих нужд.


Выключите телефон после активации/пополнения баланса и перед уходом домой. Никогда не включайте его снова, если вы не находитесь в месте, которое может быть использовано для раскрытия вашей личности, и если только ваш смартфон не был выключен перед тем, как отправиться в это "не домашнее" место.


Номер телефона в Интернете (менее рекомендуется).


Не пытайтесь выполнить этот шаг, пока не настроите безопасную среду в соответствии с одним из выбранных маршрутов. Этот шаг потребует доступа в Интернет и должен выполняться только из анонимной сети. Не делайте этого из любой известной/небезопасной среды. Пропустите этот шаг, пока не закончите один из маршрутов.


Существует множество коммерческих сервисов, предлагающих номера для получения SMS-сообщений в Интернете, но большинство из них не обеспечивают анонимности/приватности и не могут быть полезны, поскольку большинство платформ социальных сетей устанавливают ограничение на количество раз использования телефонного номера для регистрации.


Существуют некоторые форумы и сабреддиты (например, r/phoneverification/), где пользователи предлагают услуги по получению таких SMS-сообщений за небольшую плату (с помощью PayPal или какой-либо криптовалюты). К сожалению, они полны мошенников и очень рискованны с точки зрения анонимности. Ни в коем случае не пользуйтесь ими.


На сегодняшний день я не знаю ни одного авторитетного сервиса, который бы предлагал такую услугу и принимал наличные платежи (например, по почте), как некоторые VPN-провайдеры. Но есть несколько сервисов, предоставляющих онлайн-номера телефонов и принимающих Monero, которые могут быть достаточно анонимными (но менее рекомендованными, чем физический способ в предыдущей главе), которые вы могли бы рассмотреть:



Есть и другие возможности, перечисленные здесь https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Используйте на свой страх и риск.


DISCLAIMER: Я не могу поручиться ни за одного из этих провайдеров и поэтому рекомендую все же сделать это самостоятельно физически. В этом случае вам придется полагаться на анонимность Monero, и вы не должны пользоваться услугами, которые требуют какой-либо идентификации с использованием вашей реальной личности. Пожалуйста, ознакомьтесь с этим отказом от Monero.



Поэтому, IMHO, вероятно, удобнее, дешевле и менее рискованно просто приобрести предоплаченную SIM-карту в одном из физических мест, которые все еще продают их за наличные, не требуя регистрации личности. Но, по крайней мере, есть альтернатива, если у вас нет другого выхода.


Купите USB-носитель.


Купите хотя бы один или два общих USB-носителя приличного размера (не менее 16 ГБ, но я бы рекомендовал 32 ГБ).


Пожалуйста, не покупайте и не используйте диковинные устройства самошифрования, такие как эти: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Некоторые из них могут быть очень эффективными, но многие представляют собой диковинные приспособления, не обеспечивающие реальной защиты.


Найдите несколько безопасных мест с приличным общественным Wi-Fi.


Вам нужно найти безопасные места, где вы сможете выполнять свои конфиденциальные действия, используя какой-нибудь общедоступный Wi-Fi (без регистрации учетной записи/идентификатора, без камер видеонаблюдения).


Это может быть место, которое не будет связано с вами напрямую (ваш дом/работа) и где вы сможете пользоваться Wi-Fi некоторое время, не опасаясь, что вас побеспокоят. Но также и место, где вы сможете сделать это так, чтобы вас никто не "заметил".


Если вы думаете, что Starbucks - это хорошая идея, вам стоит передумать:


  • Скорее всего, во всех их магазинах установлены камеры видеонаблюдения, и записи хранятся неизвестно сколько времени.
  • В большинстве заведений вам придется купить кофе, чтобы получить код доступа к Wi-Fi. Если вы оплатите кофе электронным способом, они смогут связать ваш доступ к Wi-Fi с вашей личностью.

Ситуационная осведомленность - ключевой момент, и вы должны постоянно помнить о своем окружении и избегать туристических мест, как будто там свирепствует лихорадка Эбола. Вы должны избегать появления на любых фотографиях и видео, когда кто-то делает селфи, снимает видео на TikTok или выкладывает в свой Instagram фотографию из путешествия. Если вы это сделаете, помните, что высока вероятность того, что эти фотографии попадут в сеть (публично или частным образом) с полными метаданными, прикрепленными к ним (время/дата/геолокация) и вашим лицом. Помните, что они могут и будут проиндексированы Facebook/Google/Yandex/Apple и, вероятно, всеми тремя почтовыми агентствами.


Пока это еще не доступно для ваших местных полицейских, но в ближайшем будущем может стать возможным.


В идеале вам понадобится набор из 3-5 различных мест, чтобы не использовать одно и то же место дважды. В течение нескольких недель потребуется несколько поездок для выполнения различных шагов этого руководства.


Для дополнительной безопасности можно подключаться к этим местам с безопасного расстояния. См. приложение Q: Использование антенны дальнего радиуса действия для подключения к общественному Wi-Fis с безопасного расстояния.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Маршрут "Хвосты".


Эта часть руководства поможет вам настроить Tails, если верно одно из следующих условий:


  • Вы не можете позволить себе выделенный ноутбук
  • Ваш выделенный ноутбук слишком старый и медленный
  • У вас очень низкие навыки работы с ИТ
  • Вы все равно решили использовать Tails

Tails расшифровывается как The Amnesic Incognito Live System. Это загрузочная Live-операционная система, запускаемая с USB-носителя, которая предназначена для того, чтобы не оставлять следов и заставлять все соединения проходить через сеть Tor.


Вы просто вставляете USB-носитель Tails в ноутбук, загружаетесь с него и получаете полноценную операционную систему, работающую в режиме конфиденциальности и анонимности. Как только вы выключите компьютер, все исчезнет, если только вы не сохраните это где-нибудь.


Tails - это очень простой способ быстро начать работу с тем, что у вас есть, без особого обучения. В ней есть обширная документация и учебники.


ПРЕДУПРЕЖДЕНИЕ: Tails не всегда обновляет программное обеспечение, входящее в комплект поставки. Также не всегда обновляются обновления браузера Tor. Вы всегда должны быть уверены, что используете последнюю версию Tails, и проявлять крайнюю осторожность при использовании приложений, входящих в комплект Tails, которые могут быть уязвимы для эксплойтов и раскрывать вашеместоположение265.


Однако у него есть и недостатки:


  • Tails использует Tor, и поэтому вы будете использовать Tor для доступа к любым ресурсам в Интернете. Уже одно это сделает вас подозрительным для большинства платформ, на которых вы хотите создавать анонимные аккаунты (подробнее об этом будет рассказано позже).
  • Ваш провайдер (будь то ваш или общественный Wi-Fi) также увидит, что вы используете Tor, и это само по себе может вызвать подозрения.
  • Tails не включает в себя (нативно) некоторые программы, которые вы можете захотеть использовать позже, что значительно усложняет работу, если вы хотите запустить некоторые специфические вещи (эмуляторы Android, например).
  • Tails использует браузер Tor, который, хотя и является очень безопасным, также обнаруживается большинством платформ и мешает вам создавать анонимные личности на многих платформах.
  • Tails не защитит вас от 5$ wrench8.
  • Tor сам по себе может быть недостаточен для защиты от противника с достаточными ресурсами, как объяснялось ранее.

Важное замечание: Если ваш ноутбук находится под наблюдением/контролем и на него наложены некоторые локальные ограничения, прочтите Приложение U: Как обойти (некоторые) локальные ограничения на компьютерах под наблюдением.


Вам также следует ознакомиться с документацией, предупреждениями и ограничениями Tails, прежде чем продолжить https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org].


Принимая во внимание все это, а также тот факт, что их документация великолепна, я просто перенаправлю вас на их хорошо сделанный и хорошо поддерживаемый учебник:


https://tails.boum.org/install/index.en.html [Archive.org], выбирайте на свой вкус и продолжайте.


Когда вы закончите и у вас на ноутбуке будет работать Tails, переходите к шагу "Создание анонимной личности в Интернете", который находится намного дальше в этом руководстве.


Если у вас проблемы с доступом к Tor из-за цензуры или других проблем, вы можете попробовать использовать Tor Bridges, следуя этому руководству по Tails: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] и найти больше информации об этом в Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org].


Если вы считаете, что использование одного лишь Tor опасно/подозрительно, смотрите Приложение P: Безопасный доступ в интернет, когда Tor/VPN не подходит
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Устойчивая правдоподобная отрицаемость с помощью Whonix внутри Tails.


Обратите внимание на проект https://github.com/aforensics/HiddenVM [Archive.org] для Tails.


Этот проект представляет собой умную идею автономного решения VM, которое можно хранить на зашифрованном диске одним щелчком мыши, используя правдоподобную отрицаемость256 (см. раздел "Путь Whonix: первые главы", а также некоторые пояснения о правдоподобной отрицаемости, а также раздел " Как безопасно удалить определенные файлы/папки/данные на HDD/SSD и флешках" в конце этого руководства для более глубокого понимания).


Это позволит создать гибридную систему, смешивающую Tails с возможностями виртуализации из маршрута Whonix в этом руководстве.
2021 08 04 17 12


Примечание: Дополнительные разъяснения по изоляции потоков см. в разделе Выбор метода подключения в маршруте Whonix.


Вкратце:


  • Вы можете запускать непостоянные Tails с одного USB-носителя (следуя их рекомендациям).
  • Вы можете хранить постоянные ВМ во вторичном хранилище, которое может быть зашифровано обычным способом или с помощью функции Veracrypt plausible deniability (это могут быть ВМ Whonix, например, или любые другие).
  • Вы получаете преимущество от добавленной функции Tor Stream Isolation (см. Tor over VPN для получения информации об изоляции потоков).

В этом случае, согласно проекту, на вашем компьютере не должно оставаться никаких следов вашей деятельности, а конфиденциальная работа может выполняться на виртуальных машинах, хранящихся в скрытом контейнере, который не должен быть легко обнаружен недоброжелателями.


Этот вариант особенно интересен для "путешествий налегке" и для смягчения атак криминалистов, сохраняя при этом стойкость вашей работы. Вам понадобятся только 2 USB-носителя (один с Tails, другой с контейнером Veracrypt, содержащим постоянный Whonix). Первый USB-носитель будет содержать только Tails, а второй - только случайный мусор, но будет иметь ложный том, который вы сможете показать для правдоподобного опровержения.


Вы также можете задаться вопросом, не приведет ли это к настройке "Tor over Tor", но это не так. ВМ Whonix будут получать доступ к сети напрямую через clearnet, а не через Tails Onion Routing.


В будущем это может быть поддержано и самим проектом Whonix, как объясняется здесь: https://www.whonix.org/wiki/Whonix-Host [Archive.org], но пока это не рекомендуется для конечных пользователей.


Помните, что шифрование с правдоподобным отрицанием или без него не является серебряной пулей и будет малоэффективным в случае пыток. На самом деле, в зависимости от того, кто будет вашим противником (ваша модель угроз), может быть разумнее вообще не использовать Veracrypt (бывший TrueCrypt), как показано в этой демонстрации: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Правдоподобное отрицание эффективно только против мягких законных противников, которые не будут прибегать к физическим средствам.


См. https://en. wikipedia.org/wiki/Rubber-hose_cryptanalysis
[Wikiless] [Archive.org].


ВНИМАНИЕ: если вы планируете хранить такие скрытые ВМ на внешнем SSD-накопителе, обратитесь к Приложению K: Соображения по использованию внешних SSD-накопителей и разделам "Понимание соотношения HDD и SSD":


  • Не используйте скрытые тома на SSD-накопителях, поскольку Veracrypt не поддерживает/рекомендует это делать.
  • Вместо зашифрованных томов используйте файловые контейнеры.
  • Убедитесь, что вы знаете, как правильно очистить данные с внешнего SSD-накопителя.

Вот мое руководство о том, как этого добиться:


Первый запуск.


  • Скачайте последнюю версию HiddenVM с https://github.com/aforensics/HiddenVM/releases [Archive.org]
  • Скачайте последнюю версию Whonix XFCE с https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
  • Подготовка USB-носителя с помощью Veracrypt
    • Создайте скрытый том на USB-носителе/ключе (я бы рекомендовал использовать не менее 16 ГБ для скрытого тома).
    • Во внешнем томе разместите несколько файлов-обманок.
    • В скрытый том поместите файл образа приложения HiddenVM
    • В скрытый том поместите файл ova Whonix XFCE.
  • Загрузитесь в Tails
  • Настройте раскладку клавиатуры по своему усмотрению.
  • Выберите Дополнительные настройки и установите пароль администратора (root) (необходим для установки HiddenVM).
  • Запустите Tails
  • Подключитесь к безопасному wi-fi (это обязательный шаг для того, чтобы все остальное работало)
  • Зайдите в раздел Утилиты и разблокируйте ваш Veracrypt (скрытый) том (не забудьте поставить галочку напротив скрытого тома)
  • Запустите образ приложения HiddenVM
  • Когда появится запрос на выбор папки, выберите корень скрытого тома (где находятся файлы образа Whonix OVA и приложения HiddenVM).
  • Позвольте ему сделать свое дело (это позволит установить Virtualbox в Tails одним щелчком мыши).
  • После этого автоматически запустится Virtualbox Manager.
  • Импортируйте OVA-файлы Whonix (см. раздел "Виртуальные машины Whonix:").

Обратите внимание, если во время импорта у вас возникают проблемы типа "NS_ERROR_INVALID_ARG (0x80070057)", это, вероятно, связано с тем, что на вашем Скрытом томе недостаточно места для Whonix. Сами Whonix рекомендуют 32 ГБ свободного места, но это, вероятно, не обязательно, и для начала достаточно 10 ГБ. Вы можете попробовать обойти эту ошибку, переименовав файл Whonix *.OVA в *.TAR и распаковав его в Tails. По окончании распаковки удалите OVA-файл и импортируйте остальные файлы с помощью мастера импорта. На этот раз все может получиться.


Последующие запуски.


  • Загрузка в Tails
  • Подключитесь к Wi-Fi
  • Разблокируйте скрытый том
  • Запустите приложение HiddenVM.
  • Это должно автоматически открыть менеджер VirtualBox и показать предыдущие ВМ с первого запуска
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Шаги для всех остальных маршрутов.


Приобретите специальный ноутбук для конфиденциальной деятельности.


В идеале вам следует приобрести специальный ноутбук, который не будет привязан к вам каким-либо простым способом (в идеале - анонимно оплаченный наличными и с использованием тех же мер предосторожности, что и в случае с телефоном и SIM-картой). Это рекомендуется, но не обязательно, потому что данное руководство поможет вам максимально защитить свой ноутбук от утечки данных различными способами. Между вашими онлайн-идентификаторами и вами самими будет стоять несколько линий обороны, которые не позволят большинству противников деанонимизировать вас, кроме государственных/глобальных акторов со значительными ресурсами.


В идеале этот ноутбук должен быть чистым, свежеустановленным (под управлением Windows, Linux или MacOS), чистым от вашей обычной повседневной деятельности и автономным (еще не подключенным к сети). В случае ноутбука с Windows, если вы использовали его до такой чистой установки, он также не должен быть активирован (переустановлен без ключа продукта). Что касается MacBook, то он вообще не должен быть привязан к вашей личности. Поэтому покупайте б/у за наличные у незнакомого человека, который не знает вашей личности.


Это необходимо для того, чтобы уменьшить будущие проблемы в случае утечки информации из сети (включая телеметрию из вашей ОС или приложений), которая может скомпрометировать любые уникальные идентификаторы ноутбука во время его использования (MAC-адрес, адрес Bluetooth, ключ продукта ...). А также для того, чтобы вас не отследили, если вам понадобится утилизировать ноутбук.


Если вы использовали этот ноутбук раньше для разных целей (например, в повседневной работе), все его аппаратные идентификаторы, вероятно, известны и зарегистрированы Microsoft или Apple. Если впоследствии какой-либо из этих идентификаторов будет скомпрометирован (вредоносным ПО, телеметрией, эксплойтами, человеческими ошибками...), он может привести к вам.


Ноутбук должен иметь не менее 250 ГБ дискового пространства , не менее 6 ГБ (в идеале - 8 или 16 ГБ) оперативной памяти и быть способным запускать несколько виртуальных машин одновременно. У него должна быть рабочая батарея, которой хватает на несколько часов.


Ноутбук может быть оснащен жестким диском (7200 об/мин) или SSD/NVMe. Оба варианта имеют свои преимущества и проблемы, которые будут подробно описаны позже.


Все дальнейшие действия в Интернете, выполняемые с помощью этого ноутбука, в идеале должны выполняться из безопасной сети, такой как общественный Wi-Fi в безопасном месте (см. раздел "Поиск безопасных мест с приличным общественным Wi-Fi"). Но сначала придется выполнить несколько шагов в автономном режиме.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Некоторые рекомендации по выбору ноутбука.


Если вы можете себе это позволить, то при использовании Coreboot (где Intel IME отключен с завода) можно рассмотреть возможность приобретения ноутбука Purism Librem(https://puri.sm [Archive.org]) или ноутбука System76(https://system76.com/ [Archive.org]).


В остальных случаях я бы настоятельно рекомендовал приобретать ноутбуки бизнес-класса (то есть не потребительские/игровые), если это возможно. Например, какой-нибудь ThinkPad от Lenovo (мой личный фаворит). Вот списки ноутбуков, поддерживающих Libreboot, и других, на которые вы можете самостоятельно прошить Coreboot (это позволит вам отключить Intel IME или AMD PSP):



Это связано с тем, что бизнес-ноутбуки обычно предлагают лучшие и более настраиваемые функции безопасности (особенно в настройках BIOS/UEFI) с более длительной поддержкой, чем большинство потребительских ноутбуков (Asus, MSI, Gigabyte, Acer...). Интересные функции, на которые стоит обратить внимание, это IMHO:


  • Лучшие пользовательские настройки Secure Boot (где вы можете выборочно управлять всеми ключами, а не только использовать стандартные)
  • пароли на HDD/SSD в дополнение к паролям BIOS/UEFI.
  • Ноутбуки AMD могут быть более интересными, поскольку некоторые из них предоставляют возможность отключить AMD PSP (AMD-эквивалент Intel IME) в настройках BIOS/UEFI по умолчанию. И, поскольку, как известно, AMD PSP был проверен и, в отличие от IME, не был признан обладающим какими-либо "злыми" функциями. Однако, если вы собираетесь выбрать Qubes OS Route, обратите внимание на Intel, поскольку они не поддерживают AMD с их системой защиты от "злых девах".
  • Инструменты Secure Wipe из BIOS (особенно полезны для SSD/NVMe-накопителей, см. приложение M: опции BIOS/UEFI для стирания дисков различных марок).
  • Улучшенный контроль над отключением/включением некоторых периферийных устройств (USB-порты, Wi-Fis, Bluetooth, камера, микрофон...).
  • Улучшенные функции безопасности с помощью виртуализации.
  • Встроенные средства защиты от несанкционированного доступа.
  • Более длительная поддержка обновлений BIOS/UEFI (и последующих обновлений безопасности BIOS/UEFI).
  • Некоторые из них поддерживаются Libreboot
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Настройки Bios/UEFI/Firmware вашего ноутбука.


ПК.


Доступ к этим настройкам можно получить через меню загрузки ноутбука. Вот хороший учебник от HP, объясняющий все способы доступа к BIOS на различных компьютерах: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Обычно доступ к нему осуществляется нажатием определенной клавиши (F1, F2 или Del) при загрузке (до запуска ОС).


Как только вы окажетесь там, вам нужно будет применить несколько рекомендуемых настроек:


  • Полностью отключите Bluetooth, если можете.
  • Отключите биометрические устройства (сканеры отпечатков пальцев), если они у вас есть, если это возможно. Однако можно добавить дополнительную биометрическую проверку только для загрузки (предзагрузочную), но не для доступа к настройкам BIOS/UEFI.
  • Отключите веб-камеру и микрофон, если можете.
  • Включите пароль BIOS/UEFI и используйте длинную кодовую фразу вместо пароля (если можете) и убедитесь, что этот пароль требуется для:
    • доступа к самим настройкам BIOS/UEFI
    • Изменение порядка загрузки
    • Запуск/включение устройства
  • Включите пароль на HDD/SSD, если эта функция доступна. Эта функция добавит еще один пароль на сам HDD/SSD (не в прошивку BIOS/UEFI), который не позволит использовать этот HDD/SSD в другом компьютере без пароля. Обратите внимание, что эта функция также характерна для некоторых производителей и может потребовать специального программного обеспечения для разблокировки этого диска на совершенно другом компьютере.
  • По возможности запретите доступ к параметрам загрузки (порядку загрузки) без предоставления пароля BIOS/UEFI.
  • Отключите USB/HDMI или любой другой порт (Ethernet, Firewire, SD-карта...), если можете.
  • Отключите Intel ME, если можете.
  • Отключите AMD PSP, если можете (эквивалент IME от AMD, см. раздел "Ваш процессор").
  • Отключите Secure Boot, если вы собираетесь использовать QubesOS, так как они не поддерживают его из коробки. Оставьте его включенным, если вы собираетесь использовать Linux/Windows.
  • Проверьте, есть ли в BIOS вашего ноутбука опция безопасного стирания данных с HDD/SSD, которая может пригодиться в случае необходимости.

Включайте их только по необходимости и отключайте после использования. Это поможет предотвратить некоторые атаки в случае, если ваш ноутбук был захвачен в заблокированном, но включенном состоянии, или если вам пришлось быстро выключить его, и кто-то завладел им (эта тема будет рассмотрена позже в этом руководстве).


О безопасной загрузке.


Итак, что такое Secure Boot Если коротко, то это функция безопасности UEFI, предназначенная для предотвращения загрузки компьютером операционной системы, загрузчик которой не был подписан специальными ключами, хранящимися в прошивке UEFI вашего ноутбука.


В принципе, если операционная система (или загрузчик) поддерживает эту функцию, вы можете сохранить ключи загрузчика в прошивке UEFI, и это предотвратит загрузку любой неавторизованной операционной системы (например, live OS USB или что-то подобное).


Настройки Secure Boot защищены паролем, который вы установили для доступа к настройкам BIOS/UEFI. Если у вас есть этот пароль, вы можете отключить Secure Boot и разрешить загрузку неподписанных ОС на вашей системе. Это поможет предотвратить некоторые атаки Evil-Maid (о них мы расскажем далее в этом руководстве).


В большинстве случаев Secure Boot отключена по умолчанию или включена, но в режиме "настройки", который позволяет загружать любую систему. Чтобы Secure Boot работала, ваша операционная система должна поддерживать ее, а затем подписать свой загрузчик и передать ключи подписи в прошивку UEFI. После этого вам нужно будет зайти в настройки BIOS/UEFI, сохранить эти ключи из ОС и переключить Secure Boot с режима настройки на пользовательский режим (или пользовательский режим в некоторых случаях).


После выполнения этого шага загружаться смогут только те операционные системы, с которых прошивка UEFI может проверить целостность загрузчика.


В большинстве ноутбуков в настройках безопасной загрузки уже хранятся некоторые ключи по умолчанию. Обычно это ключи от самого производителя или от некоторых компаний, например Microsoft. Это означает, что по умолчанию некоторые USB-диски всегда можно будет загрузить даже с помощью безопасной загрузки. К ним относятся Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla и многие другие. Однако Secure Boot не поддерживается QubesOS на данный момент.


В некоторых ноутбуках вы можете управлять этими ключами и удалять те, которые вам не нужны, с помощью "пользовательского режима", чтобы разрешить только собственный загрузчик, который вы можете подписать сами, если действительно этого хотите.


Итак, от чего же защищает Secure Boot? Она защищает ваш ноутбук от загрузки неподписанных загрузчиков (поставщиком ОС) с, например, внедренным вредоносным ПО.


От чего Secure Boot не защищает?


  • Secure Boot не шифрует ваш диск, и злоумышленник все равно может просто извлечь диск из ноутбука и извлечь из него данные с помощью другой машины. Поэтому Secure Boot бесполезна без полного шифрования диска.
  • Secure Boot не защищает вас от подписанного загрузчика, который может быть скомпрометирован и подписан самим производителем (например, Microsoft в случае Windows). Большинство основных дистрибутивов Linux в наши дни подписаны и будут загружаться с включенной Secure Boot.
  • Secure Boot, как и любая другая система, может иметь недостатки и уязвимости. Если вы используете старый ноутбук, на который не распространяются новые обновления BIOS/UEFI, они могут остаться неисправленными.

Кроме того, существует ряд атак на Secure Boot, о которых подробно рассказывается в этих технических видео:



Таким образом, она может быть полезна как дополнительная мера против некоторых противников, но не всех. Сама по себе Secure Boot не шифрует жесткий диск. Это дополнительный уровень, но не более того.


Я все же рекомендую не отключать его, если есть такая возможность.



Mac.


Найдите время, чтобы установить пароль прошивки в соответствии с руководством здесь: https://support.apple.com/en-au/HT204455 [Archive.org].


Вы также должны включить защиту от сброса пароля прошивки (доступна в Catalina) в соответствии с документацией здесь: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].


Эта функция уменьшит вероятность того, что некоторые злоумышленники могут использовать аппаратные взломы для отключения/обхода пароля прошивки. Обратите внимание, что это также не позволит самим Apple получить доступ к прошивке в случае ремонта.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Физически защитите свой ноутбук.


В какой-то момент вы неизбежно оставите ноутбук в одиночестве. Вы не будете спать с ним и брать его с собой каждый день. Вы должны сделать так, чтобы никто не смог подделать его незаметно для вас. В основном это полезно против ограниченных противников, которые не станут использовать против вас гаечный ключ за 5 долларов.


Важно знать, что некоторым специалистам не составит труда установить в ваш ноутбук регистратор клавиш или просто сделать клон-копию жесткого диска, что впоследствии позволит им обнаружить наличие на нем зашифрованных данных с помощью криминалистических методов (подробнее об этом позже).


Вот хороший дешевый способ сделать свой ноутбук защищенным от взлома с помощью лака для ногтей (с блестками) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (с картинками).


Хотя это хороший дешевый способ, он также может вызвать подозрения, поскольку он довольно "заметен" и может показать, что вам "есть что скрывать". Поэтому есть более тонкие способы добиться того же результата. Например, вы можете сделать близкую макросъемку задних винтов вашего ноутбука или просто использовать очень небольшое количество свечного воска внутри одного из винтов, который может выглядеть как обычная грязь. Затем вы можете проверить наличие подделки, сравнив фотографии винтов с новыми. Их ориентация могла немного измениться, если ваш противник был недостаточно осторожен (затягивал их точно так же, как и раньше). Или воск в нижней части головки винта мог быть поврежден по сравнению с тем, что было раньше.
2021 08 05 07 49

Те же приемы можно использовать и с USB-портами: достаточно поместить внутрь разъема крошечное количество свечного воска, который будет поврежден, если вставить в него USB-ключ.


В условиях повышенного риска проверяйте ноутбук на предмет несанкционированного доступа перед регулярным использованием.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Маршрут Whonix.


Выбор хостовой ОС (ОС, установленной на вашем ноутбуке).


В этом маршруте будут широко использоваться виртуальные машины, и для их работы потребуется ОС, на которой будет работать программное обеспечение виртуализации. В этой части руководства у вас есть 3 рекомендуемых варианта:


  • Ваш дистрибутив Linux по выбору (за исключением Qubes OS)
  • Windows 10 (предпочтительно Домашняя версия из-за отсутствия Bitlocker)
  • MacOS (Catalina или выше).

Кроме того, высока вероятность того, что ваш Mac привязан или был привязан к учетной записи Apple (при покупке или после входа в систему), а значит, его уникальные аппаратные идентификаторы могут привести к вам в случае утечки аппаратных идентификаторов.


Linux также не всегда является лучшим выбором для обеспечения анонимности в зависимости от вашей модели угроз. Это связано с тем, что использование Windows позволяет нам легко применять Plausible Deniability (aka Deniable Encryption) на уровне ОС. Windows, к сожалению, одновременно является кошмаром конфиденциальности, но это единственный (удобный) вариант для использования правдоподобного отрицания на уровне ОС. Телеметрия и блокирование телеметрии в Windows также широко документированы, что должно смягчить многие проблемы.


Итак, что же такое правдоподобное отрицание? Это возможность сотрудничать с противником, запрашивающим доступ к вашему устройству/данным, не раскрывая свой настоящий секрет. И все это с использованием отрицаемого шифрования.


Мягкий законный противник может попросить у вас зашифрованный пароль от ноутбука. Сначала вы могли бы отказаться сообщить пароль (используя свое "право хранить молчание", "право не уличать себя"), но некоторые страны вводят законы, освобождающие от таких прав (потому что террористы и "подумайте о детях"). В этом случае вам придется раскрыть пароль или, возможно, получить тюремный срок за неуважение к суду. Вот тут-то и вступает в игру правдоподобное отрицание.


Вы можете раскрыть пароль, но этот пароль даст доступ только к "правдоподобным данным" (ложной ОС). Эксперты будут прекрасно знать, что у вас могут быть скрытые данные, но не смогут доказать это (если вы все сделаете правильно). Вы будете сотрудничать, и у следователей будет доступ к чему-то, но не к тому, что вы на самом деле хотели скрыть. Поскольку бремя доказательства должно лежать на их стороне, у них не будет другого выбора, кроме как поверить вам, если у них не будет доказательств того, что вы скрываете данные.


Эту функцию можно использовать на уровне ОС (правдоподобная ОС и скрытая ОС) или на уровне файлов, где у вас будет зашифрованный файловый контейнер (похожий на zip-файл), в котором будут отображаться разные файлы в зависимости от используемого пароля шифрования.


Это также означает, что вы можете создать собственную продвинутую настройку "правдоподобного отрицания", используя любую хостовую ОС, храня, например, виртуальные машины в контейнере скрытых томов Veracrypt (будьте осторожны со следами в хостовой ОС, которые нужно будет очистить, если хостовая ОС постоянна, см. раздел " Некоторые дополнительные меры против криминалистов" ниже). Существует проект для достижения этого в рамках Tails(https://github.com/aforensics/HiddenVM [Archive.org]), который сделает вашу хостовую ОС непостоянной и использует правдоподобное отрицание в Tails.


В случае Windows правдоподобное отрицание также является причиной того, что в идеале вы должны иметь Windows 10 Home (а не Pro). Это связано с тем, что Windows 10 Pro предлагает систему шифрования всего диска (Bitlocker), а Windows 10 Home вообще не предлагает шифрования всего диска. Позже мы будем использовать стороннее программное обеспечение с открытым исходным кодом для шифрования, которое позволит шифровать полный диск в Windows 10 Home. Это даст вам хорошее (правдоподобное) оправдание для использования этого ПО. В то время как использование этого ПО на Windows 10 Pro будет подозрительным.


Заметка о Linux: Итак, что насчет Linux и правдоподобного отрицания? Да, в Linux тоже можно добиться правдоподобного отрицания. Но это сложно настроить и, IMHO, требует достаточно высокого уровня мастерства, чтобы вам не понадобилось это руководство, чтобы помочь вам попробовать.


К сожалению, шифрование - это не магия, и здесь есть определенные риски:


Угрозы, связанные с шифрованием.


Ключ за 5 долларов.


Помните, что шифрование с правдоподобным отрицанием или без него - это не серебряная пуля, и в случае пыток от него будет мало толку. На самом деле, в зависимости от того, кто будет вашим противником (ваша модель угрозы), может быть разумнее вообще не использовать Veracrypt (бывший TrueCrypt), как показано в этой демонстрации: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Правдоподобное отрицание эффективно только против мягких законных противников, которые не будут прибегать к физическим средствам. По возможности избегайте использования программ, способных обеспечить правдоподобное отрицание (таких как Veracrypt), если ваша модель угроз включает жестких противников. Так, пользователям Windows в этом случае следует установить Windows Pro в качестве хостовой ОС и вместо нее использовать Bitlocker.


См. https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Без Викисклада] [Архив.org]


Атака злой горничной (Evil-Maid Attack).


Атаки "злой горничной" проводятся, когда кто-то возится с вашим ноутбуком, пока вас нет дома. Чтобы установить клонирование жесткого диска, установите вредоносное ПО или регистратор ключей. Если они смогут клонировать ваш жесткий диск, они смогут сравнить изображение жесткого диска в момент, когда они забрали его, пока вас не было дома, с изображением жесткого диска, когда они забрали его у вас. Если в промежутке вы снова пользовались ноутбуком, криминалисты смогут доказать существование скрытых данных, посмотрев на различия между двумя изображениями в том месте, которое должно быть пустым/неиспользуемым. Это может привести к убедительному доказательству существования скрытых данных. Если они установят на ваш ноутбук кейлоггер или вредоносное ПО (программное или аппаратное), они смогут просто получить от вас пароль, чтобы потом использовать его при изъятии. Такие атаки могут быть совершены у вас дома, в отеле, при пересечении границы или в любом другом месте, где вы оставляете свои устройства без присмотра.


Вы можете защитить себя от этой атаки, сделав следующее (как рекомендовалось ранее):


  • Установите базовую защиту от вскрытия (как объяснялось ранее), чтобы предотвратить физический доступ к внутренним устройствам ноутбука без вашего ведома. Это не позволит им клонировать ваши диски и установить физический регистратор ключей без вашего ведома.
  • Отключите все USB-порты (как объяснялось ранее) в BIOS/UEFI, защищенном паролем. В этом случае они не смогут включить их (без физического доступа к материнской плате для сброса настроек BIOS), чтобы загрузить USB-устройство, которое может клонировать ваш жесткий диск или установить вредоносное программное обеспечение, выполняющее функции регистратора ключей.
  • Установите пароли BIOS/UEFI/Firmware, чтобы предотвратить несанкционированную загрузку неавторизованного устройства.
  • Некоторые ОС и программы шифрования имеют защиту от EvilMaid, которую можно включить. Это относится к Windows/Veracrypt и QubeOS.

Атака холодной загрузки.


Атаки с холодной загрузкой сложнее, чем атаки Evil Maid, но они могут быть частью атаки Evil Maid, поскольку требуют, чтобы противник завладел вашим ноутбуком, пока вы активно используете устройство или вскоре после этого.


Идея довольно проста, как показано в этом видео, противник теоретически может быстро загрузить ваше устройство со специального USB-носителя, который скопирует содержимое RAM (памяти) устройства после того, как вы его выключите. Если USB-порты отключены или им нужно больше времени, они могут открыть устройство и "охладить" память с помощью спрея или других химических веществ (например, жидкого азота), предотвратив ее разрушение. Затем они смогут скопировать ее содержимое для анализа. В этом дампе памяти может содержаться ключ к расшифровке вашего устройства. Позже мы применим несколько принципов, чтобы смягчить эти проблемы.


Что касается правдоподобной отрицаемости, то было проведено несколько криминалистических исследований по техническому доказательству наличия скрытых данных с помощью простой криминалистической экспертизы (без холодной загрузки/атаки Злой горничной), но они были оспорены другими исследованиями и разработчиком Veracrypt, поэтому я бы пока не стал слишком беспокоиться по этому поводу.


Те же меры, которые используются для защиты от атак Evil Maid, должны применяться и для атак Cold Boot с некоторыми дополнениями:


  • Если ваша ОС или программное обеспечение для шифрования позволяет это сделать, вы должны рассмотреть возможность шифрования ключей в оперативной памяти (это возможно в Windows/Veracrypt и будет объяснено позже).
  • Вам следует ограничить использование режима ожидания Sleep и вместо него использовать Shutdown или Hibernate, чтобы ключи шифрования не оставались в оперативной памяти, когда компьютер переходит в спящий режим. Это связано с тем, что спящий режим будет поддерживать питание памяти для более быстрого возобновления работы. Только спящий режим и выключение действительно очистят ключ из памяти.

См. также https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] и https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Здесь также представлены некоторые интересные инструменты для защиты от этих атак для пользователей Linux:



О спящем режиме, гибернации и выключении.


Если вы хотите повысить уровень безопасности, вам следует полностью выключать ноутбук каждый раз, когда вы оставляете его без присмотра или закрываете крышку. Это очистит и/или освободит оперативную память и обеспечит защиту от атак "холодной загрузки". Однако это может быть немного неудобно, поскольку вам придется полностью перезагружаться и вводить тонну паролей в различных приложениях. Перезапускать различные виртуальные машины и другие приложения. Поэтому вместо этого можно использовать гибернацию (не поддерживается в Qubes OS). Поскольку весь диск зашифрован, гибернация сама по себе не представляет большого риска для безопасности, но все равно выключит ваш ноутбук и очистит память, позволяя вам удобно возобновить работу после этого. Ни в коем случае не стоит использовать стандартную функцию сна, при которой компьютер остается включенным, а память работает. Это вектор атаки против атак evil-maid и cold-boot, о которых говорилось ранее. Это связано с тем, что во включенной памяти хранятся ключи шифрования диска (зашифрованные или нет), и опытный противник может получить к ним доступ.


Позже в этом руководстве будут приведены рекомендации по включению спящего режима на различных ОС хоста (кроме Qubes OS), если вы не хотите каждый раз выключаться.


Локальные утечки данных (следы) и криминалистическая экспертиза.


Как уже упоминалось ранее, это утечки данных и следы от операционной системы и приложений, когда вы выполняете какие-либо действия на компьютере. В основном они относятся к зашифрованным файловым контейнерам (с или без правдоподобного отрицания), а не к шифрованию всей ОС. Такие утечки менее "важны", если зашифрована вся ОС (если вы не вынуждены раскрывать пароль).


Допустим, у вас есть зашифрованный Veracrypt USB-носитель с включенной функцией правдоподобного отрицания. В зависимости от пароля, который вы используете при подключении USB-носителя, будет открыта папка-обманка или секретная папка. В этих папках будут находиться документы/данные из папки-обманки и конфиденциальные документы/данные из папки-обманки.


Во всех случаях вы (скорее всего) откроете эти папки с помощью проводника Windows, Finder MacOS или любой другой утилиты и сделаете все, что планировали. Возможно, вы будете редактировать документ в конфиденциальной папке. Возможно, вы будете искать документ в этой папке. Может быть, вы удалите один из них или посмотрите конфиденциальное видео с помощью VLC.


Все эти приложения и ваша операционная система могут сохранять журналы и следы такого использования. Это может включать полный путь к папке/файлам/диску, время обращения к ним, временные кэши этих файлов, списки "недавних" в каждом приложении, систему индексации файлов, которая может индексировать диск, и даже эскизы, которые могут быть сгенерированы.


Вот несколько примеров таких утечек:


Windows.


  • Windows ShellBags, которые хранятся в реестре Windows, молчаливо сохраняя различные истории обращений к томам/файлам/папкам.
  • Индексирование Windows, сохраняющее следы файлов, которые по умолчанию находятся в вашей пользовательской папке.
  • Недавние списки (они же списки переходов) в Windows и различных приложениях, хранящие следы недавно просмотренных документов.
  • Много других следов в различных журналах, пожалуйста, посмотрите этот удобный интересный плакат: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org].

MacOS.


  • Gatekeeper290 и XProtect, отслеживающие историю ваших загрузок в локальной базе данных и атрибуты файлов.
  • Индексирование Spotlight
  • Списки недавних событий в различных приложениях, хранящие следы недавно просмотренных документов.
  • Временные папки, хранящие различные следы использования приложений и документов.
  • Журналы MacOS
  • ...

Linux.


  • Индексирование трекеров
  • История Bash
  • Журналы USB
  • Недавние списки в различных приложениях, хранящие следы недавно просмотренных документов.
  • Журналы Linux
  • ...

Криминалисты могут использовать все эти утечки (см. раздел "Локальные утечки данных и криминалистика"), чтобы доказать существование скрытых данных и разрушить ваши попытки использовать правдоподобное отрицание и узнать о ваших различных конфиденциальных действиях.


Поэтому важно предпринять различные шаги, чтобы помешать криминалистам сделать это, предотвращая и очищая эти утечки/следы и, что более важно, используя шифрование всего диска, виртуализацию и компартментализацию.


Криминалисты не смогут извлечь локальные утечки данных из ОС, к которой они не имеют доступа. И большинство этих следов можно убрать, стерев диск или безопасно стерев виртуальные машины (что не так просто, как кажется, на SSD-дисках).


Тем не менее, некоторые методы очистки будут рассмотрены в части "Заметание следов" в самом конце этого руководства.


Утечки данных в Интернете.


Независимо от того, используете ли вы простое шифрование или шифрование с вероятностью отрицания. Даже если вы заметаете следы на самом компьютере. Все равно существует риск утечки данных в Интернете, которая может выявить наличие скрытых данных.


Телеметрия - ваш враг. Как объяснялось ранее в этом руководстве, телеметрия операционных систем, а также приложений может передавать в сеть ошеломляющие объемы конфиденциальной информации.


В случае с Windows эти данные могут быть использованы, например, для доказательства существования скрытой ОС/тома на компьютере и будут легко доступны в Microsoft. Поэтому очень важно отключить и заблокировать телеметрию всеми доступными средствами. Неважно, какую ОС вы используете.


Заключение.


Вы никогда не должны выполнять конфиденциальные действия с незашифрованной системы. И даже если она зашифрована, вы, вероятно, никогда не должны выполнять конфиденциальные действия из самой хостовой ОС. Вместо этого следует использовать виртуальную машину, чтобы иметь возможность эффективно изолировать и разделить свою деятельность и предотвратить локальные утечки данных.


Если у вас мало или совсем нет знаний о Linux или вы хотите использовать правдоподобное отрицание для всей ОС, я бы рекомендовал использовать Windows (или вернуться к маршруту Tails) для удобства. Это руководство поможет вам максимально усилить его, чтобы предотвратить утечки. Это руководство также поможет вам максимально усилить MacOS и Linux для предотвращения аналогичных утечек.


Если вы не заинтересованы в правдоподобном опровержении информации в масштабах всей ОС и хотите научиться использовать Linux, я бы настоятельно рекомендовал использовать Linux или Qubes, если ваше оборудование позволяет это сделать.


В любом случае, хостовая ОС никогда не должна использоваться для выполнения конфиденциальной деятельности напрямую. Хост ОС будет использоваться только для подключения к публичной точке доступа Wi-Fi. Она не будет использоваться во время выполнения конфиденциальных действий и в идеале не должна применяться для повседневной работы.


Почитайте также https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Операционная система Linux.


Как уже говорилось ранее, я не рекомендую использовать ваш повседневный ноутбук для очень деликатной деятельности. Или, по крайней мере, я не рекомендую использовать для них вашу штатную ОС. Это может привести к нежелательным утечкам данных, которые могут быть использованы для вашей деанонимизации. Если у вас есть специальный ноутбук для этих целей, вам следует переустановить свежую чистую ОС. Если вы не хотите стирать свой ноутбук и начинать все сначала, вам следует рассмотреть маршрут Tails или действовать на свой страх и риск.


Я также рекомендую выполнить первоначальную установку полностью в автономном режиме, чтобы избежать утечки данных.


Вы всегда должны помнить, что, несмотря на репутацию, основные дистрибутивы Linux (например, Ubuntu) не обязательно лучше в плане безопасности, чем другие системы, такие как MacOS и Windows. См. эту ссылку, чтобы понять, почему https://madaidans-insecurities.github.io/linux.html [Archive.org].


Полное шифрование диска.


В Ubuntu есть две возможности:



Для других дистрибутивов вам придется документировать самостоятельно, но, скорее всего, все будет аналогично. В контексте данного руководства шифрование во время установки намного проще.


Отклонить/отключить любую телеметрию.


  • Во время установки просто убедитесь, что вы не разрешаете сбор данных, если это будет предложено.
  • Если вы не уверены, просто убедитесь, что вы не включили телеметрию, и при необходимости следуйте этому руководству https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org].
  • Любой другой дистрибутив: Вам придется самостоятельно изучить документацию и выяснить, как отключить телеметрию, если она есть.

Отключите все ненужное.


  • Отключите Bluetooth, если он включен, следуя этому руководству https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] или выполнив следующую команду:
    • sudo systemctl disable bluetooth.service --force
  • Отключите индексирование, если оно включено по умолчанию (Ubuntu >19.04), следуя этому руководству https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] или выполнив следующие команды:
    • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
      • Вы можете смело игнорировать любую ошибку, если она говорит, что какой-то сервис не существует
    • sudo tracker reset -hard

Гибернация.


Как уже объяснялось ранее, вы должны не использовать функции сна, а выключать или переводить ноутбук в спящий режим, чтобы предотвратить некоторые атаки evil-maid и cold-boot. К сожалению, эта функция отключена по умолчанию во многих дистрибутивах Linux, включая Ubuntu. Ее можно включить, но она может работать не так, как ожидается. Следуйте этой информации на свой страх и риск. Если вы не хотите этого делать, никогда не используйте функцию сна и выключайте компьютер (и, возможно, настройте поведение закрытия крышки на выключение, а не на сон).


Чтобы включить функцию Hibernate, следуйте одному из этих руководств:



После включения Hibernate измените поведение, чтобы ваш ноутбук переходил в спящий режим при закрытии крышки, следуя этому руководству для Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] и этому руководству для Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org].


К сожалению, это не позволит очистить ключ из памяти непосредственно при гибернации. Чтобы избежать этого ценой некоторой потери производительности, вы можете рассмотреть возможность шифрования файла подкачки, следуя этому руководству: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org].


Эти настройки должны смягчить атаки холодной загрузки, если вы можете переходить в спящий режим достаточно быстро.


Включите рандомизацию MAC-адресов.



Усиление Linux.


В качестве легкого введения для новых пользователей Linux, рассмотрите
[Invidious].


Для более глубоких и продвинутых вариантов, обратитесь к:



Настройка безопасного браузера.


См. приложение G: Безопасный браузер на хостовой ОС
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Операционная система MacOS Host.


Примечание: На данный момент это руководство не поддерживает MacBook с архитектурой ARM M1 (пока). Это связано с тем, что Virtualbox пока не поддерживает эту архитектуру. Однако это возможно, если вы используете коммерческие инструменты, такие как VMWare или Parallels, но они не рассматриваются в данном руководстве.


Как уже говорилось ранее, я не рекомендую использовать ваш повседневный ноутбук для очень важных дел. Или, по крайней мере, я не рекомендую использовать для этих целей вашу штатную ОС. Это может привести к нежелательным утечкам данных, которые могут быть использованы для вашей деанонимизации. Если у вас есть специальный ноутбук для этих целей, вам следует переустановить свежую чистую ОС. Если вы не хотите стирать свой ноутбук и начинать все сначала, вам следует рассмотреть маршрут Tails или действовать на свой страх и риск.


Я также рекомендую выполнить первоначальную установку полностью в автономном режиме, чтобы избежать утечки данных.


Никогда не входите в свою учетную запись Apple на этом Mac.


Во время установки.


  • Оставайтесь в автономном режиме
  • Отключите все запросы на передачу данных при появлении соответствующего запроса, включая службы определения местоположения.
  • Не входите в систему Apple
  • Не включайте Siri

Усиление MacOS.


В качестве легкого введения для новых пользователей macOS рассмотрите
[Invidious].


Для более глубокой защиты и укрепления MacOS я рекомендую прочитать это руководство на GitHub, которое должно охватить многие вопросы: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].


Вот основные шаги, которые вы должны предпринять после автономной установки:


Включите пароль прошивки с помощью опции "disable-reset-capability".


Сначала вам следует установить пароль прошивки, следуя этому руководству от Apple: https://support.apple.com/en-us/HT204455 [Archive.org]


К сожалению, некоторые атаки все еще возможны, и злоумышленник может отключить этот пароль, поэтому вы должны также следовать этому руководству, чтобы предотвратить отключение пароля прошивки кем-либо, включая Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Включите гибернацию вместо сна.


Опять же, это необходимо для предотвращения некоторых атак типа "холодная загрузка" и "злая служанка", поскольку при закрытии крышки отключается оперативная память и очищается ключ шифрования. Вы всегда должны либо переходить в спящий режим, либо выключаться. В MacOS функция перехода в спящий режим даже имеет специальную опцию для очистки ключа шифрования из памяти при переходе в спящий режим (в то время как в других операционных системах вам придется ждать, пока память освободится). И снова в настройках нет простой возможности сделать это, поэтому придется выполнить несколько команд, чтобы включить спящий режим:


  • Откройте терминал
  • Выполните: sudo pmset -a destroyfvkeyonstandby 1
    • Эта команда даст указание macOS уничтожить ключ Filevault в режиме ожидания (сна).
  • Выполните: sudo pmset -a hibernatemode 25
    • Эта команда предписывает macOS отключать память во время сна вместо гибридного гибернационного режима, при котором память остается включенной. Это приведет к более медленному пробуждению, но увеличит время автономной работы.

Теперь, когда вы закрываете крышку MacBook, он должен переходить в гибернацию, а не в спящий режим, что снизит вероятность атак с холодной загрузкой.


Кроме того, настройте автоматический переход в спящий режим (Настройки > Энергия), чтобы MacBook автоматически переходил в спящий режим, если его оставили без присмотра.


Отключите ненужные службы.


Отключите некоторые ненужные параметры в настройках:


  • Отключите Bluetooth
  • Отключите камеру и микрофон
  • Отключите службы определения местоположения
  • Отключить Airdrop
  • Отключить индексирование

Предотвратите вызовы Apple OCSP.


Это печально известные вызовы "неблокируемой телеметрии" из MacOS Big Sur, о которых рассказывается здесь: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org].


Вы можете заблокировать отчетность OCSP, выполнив следующую команду в Терминале:


  • sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Но прежде чем действовать, вам, вероятно, следует ознакомиться с фактической проблемой. Эта страница - хорошее место для начала: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org].


В общем, решать вам. Я бы заблокировал его, потому что не хочу никакой телеметрии от моей ОС к материнскому кораблю без моего особого согласия. Нет.


Включить полнодисковое шифрование (Filevault).


Вы должны включить полное шифрование диска на вашем Mac с помощью Filevault в соответствии с этой частью руководства: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org].


Будьте осторожны при включении. Не храните ключ восстановления в Apple, если он будет запрошен (это не должно быть проблемой, поскольку на этом этапе вы должны быть в автономном режиме). Вы же не хотите, чтобы ключ восстановления оказался у третьих лиц.


Рандомизация MAC-адресов.


К сожалению, MacOS не предлагает удобного способа рандомизации MAC-адреса, поэтому вам придется делать это вручную. При каждой перезагрузке он будет сбрасываться, и вам придется делать это каждый раз заново, чтобы убедиться, что вы не используете свой реальный MAC-адрес при подключении к различным Wi-Fis.


Это можно сделать, выполнив следующие команды в терминале (без скобок):


  • (Выключить Wi-Fi) networksetup -setairportpower en0 off
  • (Изменить MAC-адрес) sudo ifconfig en0 ether 88:63:11:11:11:11
  • (Включить Wi-Fi) networksetup -setairportpower en0 on

Настройка безопасного браузера.


См. Приложение G: Безопасный браузер на хостовой ОС


Хостовая ОС Windows.


Как уже говорилось, я не рекомендую использовать ваш повседневный ноутбук для очень важных дел. Или, по крайней мере, я не рекомендую использовать для этого вашу внутреннюю ОС. Это может привести к нежелательным утечкам данных, которые могут быть использованы для вашей деанонимизации. Если у вас есть специальный ноутбук для этих целей, вам следует переустановить свежую чистую ОС. Если вы не хотите стирать свой ноутбук и начинать все сначала, вам следует рассмотреть маршрут Tails или действовать на свой страх и риск.


Я также рекомендую выполнить первоначальную установку полностью в автономном режиме, чтобы избежать утечки данных.


Установка.


Вы должны следовать Приложению A: Установка Windows.


В качестве легкого вступления посмотрите
[Invidious]


Включите рандомизацию MAC-адресов.


Вам следует рандомизировать MAC-адреса, как объяснялось ранее в этом руководстве:


Зайдите в Настройки > Сеть и Интернет > Wi-Fi > Включить случайные аппаратные адреса.


В качестве альтернативы вы можете использовать эту бесплатную программу: https://technitium.com/tmac/ [Archive.org]


Настройка безопасного браузера.


См. Приложение G: Безопасный браузер на хостовой ОС


Включите некоторые дополнительные параметры конфиденциальности в ОС хоста.


См. приложение B: Дополнительные параметры конфиденциальности Windows


Шифрование хост-операционной системы Windows.


Если вы планируете использовать общесистемное правдоподобное отрицание.


Veracrypt - это программное обеспечение, которое я рекомендую для полного шифрования диска, шифрования файлов и правдоподобного отрицания. Это форк хорошо известного, но устаревшего и не поддерживаемого TrueCrypt. Его можно использовать для


  • Простого шифрования всего диска (ваш жесткий диск шифруется одной парольной фразой).
  • Полнодискового шифрования с вероятным отрицанием (это означает, что в зависимости от введенной при загрузке парольной фразы будет загружена либо ложная, либо скрытая ОС).
  • Простое шифрование файлового контейнера (это большой файл, который вы сможете подключить в Veracrypt как внешний диск для хранения зашифрованных файлов).
  • Файловый контейнер с правдоподобным отрицанием (это тот же большой файл, но в зависимости от парольной фразы, которую вы используете при его монтировании, вы монтируете либо "скрытый том", либо "ложный том").

Насколько мне известно, это единственное (удобное и доступное для всех) бесплатное программное обеспечение для шифрования с открытым исходным кодом, которое также обеспечивает правдоподобное отрицание для общего использования, и оно работает с Windows Home Edition.


Загрузите и установите Veracrypt с сайта: https://www.veracrypt.fr/en/Downloads.html [Archive.org].


После установки ознакомьтесь со следующими опциями, которые помогут смягчить некоторые атаки:


  • Зашифруйте память с помощью опции Veracrypt (настройки > производительность/опции драйвера > зашифровать ОЗУ) ценой снижения производительности на 5-15 %. Эта настройка также отключает спящий режим (который не очищает ключ при спящем режиме) и вместо этого шифрует память полностью, чтобы смягчить некоторые атаки холодной загрузки.
  • Включите опцию Veracrypt, чтобы стирать ключи из памяти при подключении нового устройства (система > настройки > безопасность > очистить ключи из памяти при подключении нового устройства). Это может помочь в случае захвата системы, когда она еще включена (но заблокирована).
  • Включите опцию Veracrypt для монтирования томов как съемных (Настройки > Параметры > Монтировать том как съемный носитель). Это не позволит Windows записывать некоторые журналы о монтировании в журналы событий и предотвратит утечку локальных данных.
  • Будьте осторожны и внимательно следите за ситуацией, если почувствуете что-то странное. Выключите ноутбук как можно быстрее.
  • Хотя новые версии Veracrypt поддерживают Secure Boot, я бы рекомендовал отключить эту функцию в BIOS, поскольку я предпочитаю систему Veracrypt Anti-Evil Maid, а не Secure Boot.

Если вы не хотите использовать зашифрованную память (потому что производительность может быть проблемой), вам следует, по крайней мере, включить гибернацию вместо сна. Это не очистит ключи из памяти (вы все еще будете уязвимы к атакам холодной загрузки), но, по крайней мере, несколько смягчит их, если ваша память успеет разрушиться.


Более подробная информация приведена в разделе "Маршрут A и B: Простое шифрование с помощью Veracrypt (учебник для Windows)".


Если вы не собираетесь использовать общесистемную защиту от несанкционированного доступа.


В этом случае я рекомендую использовать BitLocker вместо Veracrypt для полного шифрования диска. Причина в том, что BitLocker не предлагает возможности правдоподобного отрицания, в отличие от Veracrypt. В таком случае у противника не будет стимула продолжать "усиленный" допрос, если вы раскроете кодовую фразу.


Как правило, в этом случае у вас должна быть установлена Windows Pro, а настройка BitLocker довольно проста.


В принципе, вы можете следовать инструкциям здесь: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org].


Но вот шаги:


  • Вызовите меню Windows
  • Введите "Bitlocker"
  • Нажмите "Управление Bitlocker"
  • Нажмите "Включить Bitlocker" на системном диске
  • Следуйте инструкциям
    • Не сохраняйте ключ восстановления в учетной записи Microsoft, если появится запрос.
    • Сохраняйте ключ восстановления только на внешнем зашифрованном диске. Чтобы обойти эту процедуру, распечатайте ключ восстановления с помощью принтера Microsoft Print to PDF и сохраните его в папке "Документы".
    • Зашифруйте весь диск (не шифруйте только используемое дисковое пространство).
    • Используйте "Новый режим шифрования".
    • Запустите проверку BitLocker
    • Перезагрузите .
  • Теперь шифрование должно быть запущено в фоновом режиме (вы можете проверить это, щелкнув значок Bitlocker в правой нижней части панели задач).

Включите спящий режим (необязательно).


Опять же, как объяснялось ранее. Вы никогда не должны использовать функцию сна для защиты от некоторых атак типа "холодная загрузка" и "злая служанка". Вместо этого следует выключить или перевести ноутбук в спящий режим. Поэтому следует переключать ноутбук из режима сна в режим гибернации при закрытии крышки или когда ноутбук переходит в режим сна.


(Обратите внимание, что нельзя включить спящий режим, если ранее было включено шифрование оперативной памяти в Veracrypt).


Причина в том, что гибернация фактически полностью выключает ноутбук и очищает память. Спящий режим, напротив, оставляет память включенной (включая ключ дешифрования) и может сделать ваш ноутбук уязвимым для атак холодной загрузки.


По умолчанию Windows 10 может не предлагать вам эту возможность, поэтому вам следует включить ее, следуя этому руководству Microsoft: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org].


  • Откройте командную строку администратора (щелкните правой кнопкой мыши "Командная строка" и "Запуск от имени администратора")
  • Выполните команду: powercfg.exe /hibernate on
  • Теперь выполните дополнительную команду: **powercfg /h /type full**
    • Эта команда убедится, что ваш спящий режим заполнен, и полностью очистит память (не очень надежно).

После этого зайдите в настройки электропитания:


  • Откройте панель управления
  • Откройте Система и безопасность
  • Откройте Параметры питания
  • Откройте "Выбрать, что делает кнопка питания".
  • Измените все действия со спящего режима на гибернацию или выключение.
  • Вернитесь в Параметры питания
  • Выберите Изменить параметры плана
  • Выберите Дополнительные параметры питания
  • Измените все значения Sleep для каждого плана питания на 0 (Никогда).
  • Убедитесь, что гибридный сон выключен для каждого плана питания.
  • Включите спящий режим через желаемое время
  • Отключите все таймеры пробуждения

Решение о том, какой подмаршрут вы выберете.


Теперь вам нужно выбрать следующий шаг из двух вариантов:


  • Маршрут A: Простое шифрование вашей текущей ОС
    • Плюсы:
      • Не требует стирания ноутбука
      • Нет проблем с утечкой локальных данных
      • Отлично работает с SSD-накопителем
      • Работает с любой ОС
      • Простой
    • Минусы:
      • Противник может заставить вас раскрыть пароль и все ваши секреты, и у вас не будет возможности правдоподобно отрицать свою вину.
      • Опасность утечки данных в режиме онлайн
  • Маршрут B: Простое шифрование вашей текущей ОС с последующим использованием правдоподобного отрицания на самих файлах:
    • Плюсы:
      • Не требует стирать ноутбук.
      • Отлично работает с SSD-накопителем
      • Работает с любой ОС
      • Возможность правдоподобного отрицания в случае "мягких" противников
    • Минусы:
      • Опасность утечки данных в Интернете
      • Опасность локальных утечек данных (что приведет к дополнительной работе по их устранению)
  • Маршрут C: Шифрование операционной системы (на ноутбуке будет работать "скрытая ОС" и "ложная ОС"):
    • Плюсы:
      • Нет проблем с локальными утечками данных
      • Возможность правдоподобного отрицания в случае "мягких" противников
    • Минусы:
      • Требуется Windows (в Linux эта функция не поддерживается).
      • Опасность утечки данных в Интернете
      • Требуется полное удаление данных с ноутбука
      • Не используется с SSD-накопителем из-за необходимости отключения операций обрезки. Со временем это сильно снизит производительность/здоровье SSD-накопителя.

Как видите, маршрут C предлагает только два преимущества в плане конфиденциальности по сравнению с другими, и он будет полезен только против мягкого законного противника. Помните https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Решение о том, какой маршрут вы выберете, остается за вами. Маршрут A - это минимум.


Обязательно проверяйте наличие новых версий Veracrypt, чтобы убедиться, что вы используете последние исправления. Особенно проверяйте это перед применением крупных обновлений Windows, которые могут сломать загрузчик Veracrypt и отправить вас в цикл загрузки.


ОБРАТИТЕ ВНИМАНИЕ, ЧТО ПО УМОЛЧАНИЮ VERACRYPT ВСЕГДА ПРЕДЛАГАЕТ СИСТЕМНЫЙ ПАРОЛЬ В КЛАВИШЕ (отображение пароля в качестве теста). Это может вызвать проблемы, если для ввода при загрузке используется клавиатура ноутбука (например, AZERTY), поскольку вы установили пароль в QWERTY и будете вводить его при загрузке в AZERTY. Поэтому при тестовой загрузке обязательно проверьте, какую раскладку клавиатуры использует ваш BIOS. Вы можете не войти в систему только из-за путаницы QWERTY/AZERTY. Если BIOS загружается с AZERTY, в Veracrypt вам придется вводить пароль в QWERTY.



Маршруты A и B: простое шифрование с помощью Veracrypt (учебник по Windows)


Пропустите этот шаг, если ранее вы использовали BitLocker.


Для этого метода не обязательно иметь жесткий диск и не нужно отключать функцию Trim в этом маршруте. Утечки Trim будут полезны только для криминалистов при обнаружении наличия скрытого тома, но в остальном они не принесут особой пользы.


Этот путь довольно прост и позволяет просто зашифровать текущую операционную систему без потери данных. Обязательно прочитайте все тексты, которые показывает Veracrypt, чтобы иметь полное представление о том, что происходит.


  • Запустите VeraCrypt
  • Перейдите в раздел "Настройки":
    • Настройки > Параметры производительности/драйвера > Шифровать оперативную память
    • Система > Настройки > Безопасность > Очищать ключи из памяти, если вставлено новое устройство
    • Система > Настройки > Windows > Включить безопасный рабочий стол
  • Выберите Система
  • Выберите Шифровать системный раздел/диск
  • Выберите Обычный (простой)
  • Выберите Однозагрузочный
  • Выберите AES в качестве алгоритма шифрования (нажмите кнопку "Тест", если хотите сравнить скорость).
  • Выберите SHA-512 в качестве алгоритма хэширования (потому что почему бы и нет).
  • Введите надежную парольную фразу (чем длиннее, тем лучше, помните Приложение A2: Рекомендации по паролям и парольным фразам).
  • Соберите энтропию, перемещая курсор в случайном порядке, пока полоса не заполнится.
  • Щелкните Next (Далее) на экране Generated Keys (Сгенерированные ключи).
  • Спасать или не спасать диск - решать вам. Я рекомендую сделать его (на всякий случай), только убедитесь, что он хранится вне вашего зашифрованного диска (например, на USB-носителе, или подождите и посмотрите в конце этого руководства руководство по безопасному резервному копированию). На этом аварийном диске не будет храниться ваша парольная фраза, и она все равно понадобится вам для работы с ним.
  • Режим стирания:
    • Если на ноутбуке еще нет конфиденциальных данных, выберите Нет.
    • Если конфиденциальные данные хранятся на SSD, Trim сам по себе должен позаботиться об этом, но я бы рекомендовал выполнить 1 проход (случайные данные), чтобы быть уверенным.
    • Если конфиденциальные данные хранятся на жестком диске, то без Trim не обойтись, и я бы рекомендовал выполнить хотя бы 1 проход.
  • Проверьте свою настройку. Теперь Veracrypt перезагрузит систему, чтобы проверить загрузчик перед шифрованием. Этот тест должен пройти, чтобы шифрование продолжилось.
  • После того как компьютер перезагрузится и тест будет пройден. Veracrypt предложит вам начать процесс шифрования.
  • Запустите шифрование и дождитесь его завершения.
  • Вы закончили, пропустите маршрут B и переходите к следующим шагам.

Будет еще один раздел о создании зашифрованных файловых контейнеров с помощью Plausible Deniability в Windows.


Маршрут B: шифрование Plausible Deniability со скрытой ОС (только для Windows)


Поддерживается только в Windows.


Рекомендуется использовать только на жестком диске. Не рекомендуется использовать SSD-накопитель.


Ваша скрытая ОС не должна быть активирована (с помощью ключа продукта MS). Поэтому в этом маршруте мы порекомендуем и проведем вас через полную чистую установку, которая сотрет все на вашем ноутбуке.



Прочитайте документацию Veracrypt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Процесс создания части Hidden Operating System) и https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Требования безопасности и меры предосторожности, относящиеся к Hidden Volumes).


Вот как будет выглядеть ваша система после завершения этого процесса:
2021 08 05 08 01


(Иллюстрация из документации Veracrypt, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org])


Как видите, этот процесс требует наличия двух разделов на жестком диске с самого начала.


Этот процесс выполнит следующее:


  • Зашифрует второй раздел (внешний том), который будет выглядеть как пустой неформатированный диск с ложной ОС.
  • Предложит вам скопировать содержимое ложного тома.
    • Здесь вы скопируете на внешний том свою коллекцию аниме/порно с внешнего жесткого диска.
  • Создайте скрытый том во внешнем томе второго раздела. Здесь будет находиться скрытая ОС.
  • Клонируйте текущую установку Windows 10 на скрытый том.
  • Сотрите текущую Windows 10.
  • Это означает, что ваша текущая Windows 10 станет скрытой Windows 10 и вам нужно будет переустановить свежую ложную ОС Windows 10.

Обязательно, если у вас есть SSD-накопитель и вы хотите сделать это вопреки рекомендациям: Отключите SSD Trim в Windows (опять же, это НЕ рекомендуется, так как отключение Trim само по себе очень подозрительно). Также , как уже упоминалось, отключение Trim сократит срок службы SSD-накопителя и значительно повлияет на его производительность со временем (ваш ноутбук будет становиться все медленнее и медленнее в течение нескольких месяцев использования, пока не станет практически непригодным для использования, тогда вам придется очистить диск и переустановить все). Но вы должны это сделать, чтобы предотвратить утечку данных , которая может позволить криминалистам разрушить ваше правдоподобное отрицание. Единственный способ обойти это на данный момент - приобрести ноутбук с классическим жестким диском.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Шаг 1: Создание установочного USB-носителя Windows 10


См. приложение C: Создание установочного носителя Windows и выберите путь USB-носителя.


Шаг 2: Загрузите USB-носитель и запустите процесс установки Windows 10 (скрытая ОС)



Шаг 3: Настройки конфиденциальности (Скрытая ОС)


См. приложение B: Дополнительные параметры конфиденциальности Windows


Шаг 4: Запуск процесса установки и шифрования Veracrypt (Скрытая операционная система)


Не забудьте прочитать https://www.veracrypt.fr/en/VeraCrypt Скрытая операционная система.html [Архив.org].


Не подключайте эту ОС к известному вам Wi-Fi. Вам следует загрузить программу установки Veracrypt с другого компьютера и скопировать ее сюда с помощью USB-носителя.


  • Установите Veracrypt
  • Запустите Veracrypt
  • Зайдите в Настройки:
    • Настройки > Параметры производительности/драйвера > Шифровать оперативную память(обратите внимание, что эта опция не совместима с гибернацией ноутбука и означает, что вам придется полностью выключить компьютер)
    • Система > Настройки > Безопасность > Очистить ключи из памяти, если вставлено новое устройство
    • Система > Настройки > Windows > Включить безопасный рабочий стол
  • Зайдите в раздел "Система" и выберите "Создать скрытую операционную систему".
  • Внимательно прочитайте все подсказки
  • Выберите Single-Boot, если появится запрос
  • Создайте внешний том, используя AES и SHA-512.
  • Используйте все свободное место на втором разделе для внешнего тома.
  • Используйте надежную парольную фразу (помните Приложение A2: Рекомендации по паролям и парольным фразам).
  • Выберите "Да" для больших файлов
  • Создайте энтропию, перемещая мышь по экрану, пока полоса не заполнится, и выберите NTFS (не выбирайте exFAT, так как мы хотим, чтобы внешний том выглядел "нормально", а NTFS - это нормально).
  • Форматирование внешнего тома
  • Откройте внешний том:
    • На этом этапе необходимо скопировать ложные данные на внешний том. Итак, у вас должно быть несколько чувствительных, но не очень чувствительных файлов/папок, которые нужно туда скопировать. На случай, если вам понадобится раскрыть пароль к этому тому. Это хорошее место для коллекции аниме/ mp3/фильмов/порно.
    • Я рекомендую не заполнять внешний том слишком сильно или слишком мало (около 40 %). Помните, что вы должны оставить достаточно места для скрытой ОС (размер которой будет равен размеру первого раздела, созданного при установке).
  • Используйте надежную парольную фразу для скрытого тома (очевидно, отличную от парольной фразы для внешнего тома).
  • Теперь создайте Скрытый том, выберите AES и SHA-512.
  • Заполните полосу энтропии до конца случайными движениями мыши.
  • Отформатируйте скрытый том.
  • Приступайте к клонированию
  • Теперь Veracrypt перезапустит и клонирует Windows, с которой вы начали этот процесс, в скрытый том. Эта Windows станет вашей скрытой ОС.
  • Когда клонирование будет завершено, Veracrypt перезапустится в скрытой системе.
  • Veracrypt сообщит, что Скрытая система установлена, а затем предложит стереть оригинальную ОС (ту, которую вы установили ранее с помощью USB-носителя).
  • Используйте 1-Pass Wipe и продолжайте.
  • Теперь ваша скрытая ОС будет установлена, переходите к следующему шагу

Шаг 5: Перезагрузите USB-носитель и снова запустите процесс установки Windows 10 (обманная ОС)


Теперь, когда скрытая ОС полностью установлена, вам нужно установить ложную ОС.


  • Вставьте USB-носитель в ноутбук.
  • См. Приложение A: Установка Windows и приступайте к повторной установке Windows 10 Home (не устанавливайте другую версию и остановитесь на Home).

Шаг 6: Настройки конфиденциальности (ложная ОС)


См. приложение B: Дополнительные параметры конфиденциальности Windows


Шаг 7: Установка Veracrypt и запуск процесса шифрования (Decoy OS)


Теперь мы зашифруем Decoy OS:


  • Установите Veracrypt
  • Запустите VeraCrypt
  • Выберите Система
  • Выберите Шифровать системный раздел/диск
  • Выберите Обычный (простой)
  • Выбрать однозагрузочный
  • Выберите AES в качестве алгоритма шифрования (нажмите кнопку "Тест", если хотите сравнить скорость).
  • Выберите SHA-512 в качестве алгоритма хэширования (потому что почему бы и нет).
  • Введите короткий слабый пароль (да, это серьезно, сделайте это, это будет объяснено позже).
  • Соберите энтропию, перемещая курсор в случайном порядке, пока полоса не заполнится.
  • Нажмите кнопку Next, чтобы увидеть экран Generated Keys
  • Спасать или не спасать диск - решать вам. Я рекомендую сделать его (на всякий случай), только убедитесь, что он хранится вне вашего зашифрованного диска (например, на USB-носителе, или подождите и посмотрите в конце этого руководства руководство по безопасному резервному копированию). На этом аварийном диске не будет храниться ваша парольная фраза, и она все равно понадобится вам для работы с ним.
  • Режим стирания: Выберите 1-пасс на всякий случай.
  • Предварительно протестируйте свою установку. Veracrypt перезагрузит систему, чтобы проверить загрузчик перед шифрованием. Этот тест должен пройти, чтобы шифрование было выполнено.
  • После того как компьютер перезагрузится и тест будет пройден. Veracrypt предложит вам начать процесс шифрования.
  • Запустите шифрование и дождитесь его завершения.
  • Теперь ваша Decoy OS готова к использованию.

Шаг 8: Проверка установки (загрузка в обоих режимах)


Пришло время протестировать вашу установку.


  • Перезагрузитесь и введите кодовую фразу Hidden OS, вы должны загрузиться в Hidden OS.
  • Перезагрузитесь и введите парольную фразу Decoy OS, вы должны загрузиться в Decoy OS.
  • Запустите Veracrypt в Decoy OS и смонтируйте второй раздел, используя парольную фразу Outer Volume Passphrase (смонтируйте его как доступный только для чтения, зайдя в Mount Options и выбрав Read-Only), и он должен смонтировать второй раздел как доступный только для чтения, отображая ваши ложные данные (вашу коллекцию аниме/порно). Вы монтируете его как раздел только для чтения, потому что если бы вы записали на него данные, вы могли бы отменить содержимое вашей скрытой ОС.

Шаг 9: Безопасное изменение ложных данных на внешнем томе


Прежде чем переходить к следующему шагу, вам следует узнать, как безопасно монтировать внешний том для записи на него содержимого. Это также объясняется в этой официальной документации Veracrypt https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org].


Делать это следует из безопасного надежного места.


По сути, вы собираетесь смонтировать внешний том, указав при этом парольную фразу скрытого тома в параметрах монтирования, чтобы защитить скрытый том от перезаписи. После этого Veracrypt позволит вам записывать данные на внешний том без риска перезаписи данных на скрытом томе.


Эта операция не приведет к фактическому монтированию скрытого тома и предотвратит создание каких-либо криминалистических доказательств, которые могли бы привести к обнаружению скрытой ОС. Однако во время выполнения этой операции оба пароля будут храниться в оперативной памяти, поэтому вы можете подвергнуться атаке холодной загрузки. Чтобы смягчить эту проблему, убедитесь, что у вас есть возможность зашифровать и оперативную память.


  • Откройте Veracrypt
  • Выберите второй раздел
  • Нажмите кнопку Монтировать
  • Нажмите Параметры монтирования
  • Отметьте опцию "Защитить скрытый том...". Опция
  • Введите парольную фразу для скрытой ОС
  • Нажмите OK
  • Введите кодовую фразу внешнего тома
  • Нажмите OK
  • Теперь вы должны иметь возможность открывать и записывать данные на внешний том, чтобы изменить его содержимое (копировать/переместить/удалить/редактировать...)

Шаг 10: Оставьте некоторые криминалистические доказательства внешнего тома (с данными обманки) в вашей обманной ОС


Мы должны сделать ложную ОС настолько правдоподобной, насколько это возможно. Мы также хотим, чтобы ваш противник думал, что вы не настолько умны.


Поэтому важно добровольно оставить некоторые криминалистические свидетельства вашего обманного содержимого в вашей обманной ОС. Эти доказательства позволят криминалистам увидеть, что вы часто монтировали внешний том для доступа к его содержимому.


Вот хорошие советы, как оставить некоторые криминалистические свидетельства:


  • Проигрывайте содержимое внешнего тома в Decoy OS (например, с помощью VLC). Обязательно сохраните историю этих воспроизведений.
  • Редактируйте документы и работайте в них.
  • Снова включите индексирование файлов в Decoy OS и включите смонтированный внешний том.
  • Размонтируйте его и часто монтируйте, чтобы посмотреть контент.
  • Скопируйте некоторое содержимое с внешнего тома в Decoy OS, а затем удалите его безопасным способом (просто положите его в корзину).
  • Установите на Decoy OS торрент-клиент и используйте его время от времени для скачивания подобных материалов, которые вы оставите на Decoy OS.
  • На Decoy OS может быть установлен VPN-клиент с известным вам VPN (оплачивается безналично).

Не ставьте на Decoy OS ничего подозрительного, например:


  • Это руководство
  • Любые ссылки на это руководство
  • Любое подозрительное программное обеспечение для анонимности, например Tor Browser

Примечания.


Помните, что для того, чтобы этот сценарий правдоподобного отрицания сработал, вам понадобятся веские оправдания:


Потратьте немного времени, чтобы еще раз прочитать "Возможные объяснения существования двух разделов Veracrypt на одном диске" в документации Veracrypt здесь https://www.veracrypt.fr/en/VeraCrypt Скрытая операционная система.html [Архив.org].


  • Вы используете Veracrypt, потому что используете Windows 10 Home, в которой нет Bitlocker, но вам нужна конфиденциальность.
  • У вас два раздела, потому что вы хотели разделить систему и данные для удобства организации и потому что друг-гик сказал вам, что это лучше для производительности.
  • Вы использовали слабый пароль для удобной загрузки системы и длинную парольную фразу на внешнем томе, потому что вам было лень вводить длинную парольную фразу при каждой загрузке.
  • Вы зашифровали второй раздел другим паролем, чем системный, потому что не хотите, чтобы кто-то из вашего окружения видел ваши вещи. И поэтому вы не хотели, чтобы эти данные были доступны кому-либо.

Будьте осторожны:


  • Вы никогда не должны монтировать скрытый том из приманки ОС (НИКОГДА И НИКОГДА). Если вы это сделаете, это приведет к созданию криминалистических доказательств наличия скрытого тома в Decoy OS, что может поставить под угрозу вашу попытку правдоподобного отрицания. Если вы все же сделали это (намеренно или по ошибке) из Decoy OS, есть способы стереть улики, которые будут описаны позже в конце этого руководства.
  • Никогда не используйте приманку из той же сети (публичный Wi-Fi), что и скрытая ОС.
  • При монтировании внешнего тома с помощью Decoy OS не записывайте на него данные, так как они могут перекрыть то, что выглядит как пустое пространство, но на самом деле является вашей скрытой ОС. Вы всегда должны монтировать его только для чтения.
  • Если вы хотите изменить содержимое внешнего тома Decoy, используйте USB-носитель Live OS, на котором будет работать Veracrypt.
  • Обратите внимание, что вы не будете использовать Скрытую ОС для выполнения конфиденциальных действий, это будет сделано позже из виртуальной машины в Скрытой ОС. Скрытая ОС предназначена только для защиты от "мягкого" противника, который может получить доступ к вашему ноутбуку и заставить вас раскрыть свой пароль.
  • Будьте осторожны с любым вмешательством в работу вашего ноутбука. Атаки "злой прислуги" могут раскрыть вашу скрытую ОС.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Virtualbox на хостовой ОС.


Помните о Приложении W: Виртуализация.


Этот и последующие шаги должны выполняться из хостовой ОС. Это может быть либо ваша хостовая ОС с простым шифрованием (Windows/Linux/MacOS), либо ваша скрытая ОС с правдоподобным отрицанием (только Windows).


В этом маршруте мы будем широко использовать бесплатное программное обеспечение Oracle Virtualbox. Это программа виртуализации, с помощью которой вы можете создавать виртуальные машины, эмулирующие компьютер под управлением определенной ОС (если вы хотите использовать что-то другое, например Xen, Qemu, KVM или VMWARE, не стесняйтесь, но в этой части руководства для удобства рассматривается только Virtualbox).


Итак, вы должны знать, что Virtualbox - не самое лучшее программное обеспечение для виртуализации с точки зрения безопасности, и некоторые из заявленных проблем не были полностью устранены до сих пор, и если вы используете Linux с более техническими навыками, вам следует рассмотреть возможность использования KVM вместо него, следуя руководству, доступному на Whonix здесь https://www.whonix.org/wiki/KVM [Archive.org] и здесь https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


Во всех случаях следует предпринять некоторые шаги:


Все ваши конфиденциальные действия будут выполняться из гостевой виртуальной машины под управлением Windows 10 Pro (в этот раз не Home), Linux или MacOS.


У этого есть несколько преимуществ, которые помогут вам сохранить анонимность:


  • Это не позволит ОС гостевой виртуальной машины (Windows/Linux/MacOS), приложениям и любой телеметрии внутри виртуальной машины получить прямой доступ к вашему оборудованию. Даже если ваша ВМ будет скомпрометирована вредоносным ПО, это ПО не сможет проникнуть в ВМ и скомпрометировать ваш реальный ноутбук.
  • Это позволит нам заставить весь сетевой трафик с вашей клиентской ВМ проходить через другую ВМ шлюза, которая будет направлять (торифицировать) весь трафик в сеть Tor. Это сетевой "выключатель". Ваша ВМ полностью потеряет сетевое подключение и выйдет из сети, если другая ВМ потеряет связь с сетью Tor.
  • Сама ВМ, имеющая подключение к Интернету только через шлюз сети Tor, будет подключаться к вашей платной службе VPN через Tor.
  • Утечки DNS будут невозможны, поскольку виртуальная машина находится в изолированной сети, которая должна проходить через Tor, несмотря ни на что.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Выберите способ подключения.


В рамках этого маршрута существует 7 вариантов:


  • Рекомендуемый и Предпочтительный:
    • Использовать только Tor (Пользователь > Tor > Интернет)
    • Использовать VPN через Tor (Пользователь > Tor > VPN > Интернет) в особых случаях.
  • Возможно, если этого требует контекст:
    • Использовать VPN через Tor через VPN (Пользователь > VPN > Tor > VPN > Интернет)
    • Использовать Tor через VPN (Пользователь > VPN > Tor > Интернет)
  • Не рекомендуется и рискованно:
    • Использовать только VPN (Пользователь > VPN > Интернет)
    • Использовать VPN поверх VPN (Пользователь > VPN > VPN > Интернет)
  • Не рекомендуется и очень рискованно (но возможно)
    • Без VPN и без Tor (Пользователь > Интернет)
2021 08 05 08 06

Только Tor.


Это наиболее предпочтительное и рекомендуемое решение.
2021 08 05 08 06 1

При таком решении вся ваша сеть проходит через Tor, и этого должно быть достаточно, чтобы гарантировать вашу анонимность в большинстве случаев.


Есть один главный недостаток: некоторые сервисы блокируют/банят узлы Tor Exit напрямую и не разрешают создавать учетные записи с них.


Чтобы смягчить эту проблему, вам, возможно, придется рассмотреть следующий вариант: VPN через Tor, но учитывайте некоторые риски, связанные с ним, о которых мы расскажем в следующем разделе.


VPN/Proxy через Tor.


Это решение может принести некоторые преимущества в некоторых особых случаях по сравнению с использованием Tor, когда доступ к целевому сервису будет невозможен с узла выхода Tor. Это связано с тем, что многие сервисы просто запрещают, препятствуют или блокируют Tor ( см. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Как вы можете видеть на этом рисунке, если ваш VPN/прокси с оплатой наличными (предпочтительно)/Monero будет взломан противником (несмотря на их заявление о конфиденциальности и политику отсутствия логов), они найдут только анонимный аккаунт VPN/прокси с оплатой наличными/Monero, подключающийся к их сервисам с узла Tor Exit.
2021 08 05 08 07

Если противнику каким-то образом удастся скомпрометировать и сеть Tor, он обнаружит только IP-адрес случайного публичного Wi-Fi, не связанного с вашей личностью.


Если противник каким-то образом скомпрометирует вашу VM OS (например, с помощью вредоносной программы или эксплойта), он окажется в ловушке внутренней сети Whonix и не сможет раскрыть IP-адрес публичного Wi-Fi.


Однако у этого решения есть один главный недостаток, который следует учитывать: Вмешательство в изоляцию потоков Tor.


Изоляция потоков - это техника защиты, используемая для предотвращения некоторых корреляционных атак путем использования различных цепей Tor для каждого приложения. Вот иллюстрация, показывающая, что такое изоляция потоков:
2021 08 05 08 08

(Иллюстрация от Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy over Tor находится на правой стороне, то есть использование VPN/Proxy over Tor заставляет Tor использовать одну цепь для всех действий, а не несколько цепей для каждого. Это означает, что использование VPN/Proxy поверх Tor может несколько снизить эффективность Tor в некоторых случаях и поэтому должно использоваться только в некоторых конкретных случаях:


  • Когда служба назначения не разрешает узлы выхода Tor.
  • Если вы не против использовать общую цепь Tor для различных сервисов. Например, для использования различных аутентифицированных сервисов.

Однако вам следует воздержаться от использования этого метода, если ваша цель - просто просмотр случайных веб-сайтов без аутентификации, поскольку вы не сможете воспользоваться изоляцией потока, и это может со временем облегчить злоумышленникам корреляционные атаки между каждой из ваших сессий (см. раздел "Ваш анонимизированный трафик Tor/VPN"). Если же ваша цель - использовать один и тот же идентификатор в каждой сессии на одних и тех же аутентифицированных сервисах, ценность изоляции потока снижается, поскольку вас можно скоррелировать другими способами.


Вы также должны знать, что изоляция потока не обязательно настроена по умолчанию на Whonix Workstation. Она предварительно настроена только для некоторых приложений (включая Tor Browser).


Также обратите внимание, что Stream Isolation не обязательно изменяет все узлы в вашей цепи Tor. Иногда она может изменить только один или два. Во многих случаях Stream Isolation (например, в Tor Browser) изменяет только ретрансляционный (средний) узел и узел выхода, сохраняя при этом тот же узел охраны (входа).


Дополнительная информация на сайте:



Tor через VPN.


Вы можете задаться вопросом: А как насчет того, чтобы использовать Tor через VPN вместо VPN через Tor? Ну, я бы не стал этого делать:


  • Недостатки
    • Ваш VPN-провайдер - это просто еще один интернет-провайдер, который будет знать ваш IP-адрес и сможет деанонимизировать вас, если потребуется. Мы им не доверяем. Я предпочитаю ситуацию, когда ваш VPN-провайдер не знает, кто вы. Это не добавляет многого в плане анонимности.
    • Это приведет к тому, что вы будете подключаться к различным сервисам, используя IP-адрес узла выхода из Tor, который запрещен/зафиксирован во многих местах. Это не помогает с точки зрения удобства.
  • Преимущества:
    • Основное преимущество заключается в том, что если вы находитесь во враждебной среде, где доступ к Tor невозможен/опасен/подозрителен, но VPN - это нормально.
    • Этот метод также не нарушает изоляцию потока Tor.

Примечание: Если у вас проблемы с доступом к сети Tor из-за блокировки/цензуры, вы можете попробовать использовать Tor Bridges. См. Приложение X: Использование мостов Tor во враждебном окружении.


Также можно рассмотреть вариант VPN через Tor через VPN (Пользователь > VPN > Tor > VPN > Интернет), используя вместо этого две VPN с оплатой наличными/монеро. Это означает, что вы подключите ОС хоста к первому VPN с вашего общественного Wi-Fi, затем Whonix подключится к Tor и, наконец, ваша ВМ подключится ко второму VPN через Tor over VPN ( см. https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Это, конечно, значительно повлияет на производительность и может быть довольно медленным, но я считаю, что Tor необходим для достижения разумной анонимности.


Достичь этого технически легко в рамках данного маршрута, вам нужны две отдельные анонимные учетные записи VPN и вы должны подключиться к первой VPN из Host OS и следовать маршруту.


Заключение: Делайте это только в том случае, если вы считаете, что использование Tor в одиночку рискованно/невозможно, а VPN - это нормально. Или просто потому, что вы можете, и почему бы и нет.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Только VPN.


Этот путь не будет ни объясняться, ни рекомендоваться.


Если вы можете использовать VPN, то вы должны быть в состоянии добавить поверх него слой Tor. А если вы можете использовать Tor, тогда вы можете добавить анонимную VPN поверх Tor, чтобы получить предпочтительное решение.


Просто использовать VPN или даже VPN поверх VPN не имеет смысла, так как со временем вас могут отследить. Один из VPN-провайдеров будет знать ваш реальный IP-адрес (даже если он находится в безопасном общественном месте), и даже если вы добавите один поверх него, второй все равно будет знать, что вы использовали тот первый VPN-сервис. Это лишь немного отсрочит вашу деанонимизацию. Да, это дополнительный слой... но это постоянный централизованный дополнительный слой, и вы можете быть деанонимизированы с течением времени. Это просто цепочка из 3 интернет-провайдеров, на которых распространяются законные запросы.


Для получения дополнительной информации см. следующие ссылки:



В контексте данного руководства Tor необходим для достижения разумной и безопасной анонимности, и вы должны использовать его, если можете.


Нет VPN/Tor.


Если вы не можете использовать VPN или Tor там, где вы находитесь, вы, вероятно, находитесь в очень враждебной среде, где слежка и контроль очень высоки.


Просто не делайте этого, это того не стоит и слишком рискованно ИМХО. Вы можете быть деанонимизированы почти мгновенно любым мотивированным противником, который может добраться до вашего физического местоположения за считанные минуты.


Не забудьте заглянуть в раздел "Противники (угрозы)" и приложение S: "Проверьте свою сеть на предмет слежки/цензуры с помощью OONI".


Если у вас нет другого выхода, но вы все равно хотите что-то сделать, посмотрите Приложение P: Безопасный доступ в Интернет, когда Tor/VPN не подходит (на свой страх и риск), и рассмотрите вместо этого маршрут The Tails.


Заключение.

2021 08 05 08 11

К сожалению, использование Tor само по себе вызовет подозрение у платформ многих пунктов назначения. Вы столкнетесь со многими препятствиями (капчи, ошибки, трудности при регистрации), если будете использовать только Tor. Кроме того, использование Tor там, где вы находитесь, может создать вам проблемы только из-за этого. Но Tor остается лучшим решением для анонимности и должен быть где-то рядом.


  • Если вы хотите создать постоянные общие и аутентифицированные идентификаторы на различных сервисах, где доступ из Tor затруднен, я рекомендую использовать VPN через Tor (или VPN через Tor через VPN, если это необходимо). Он может быть чуть менее защищен от корреляционных атак из-за нарушения изоляции потока Tor, но обеспечивает гораздо большее удобство доступа к онлайн-ресурсам, чем просто использование Tor. Это "приемлемый" компромисс IMHP, если вы достаточно осторожны со своей личностью.
  • Если же вы хотите просто анонимно просматривать случайные сервисы без создания специальных общих идентификаторов, используя дружественные Tor сервисы; или если вы не хотите принимать этот компромисс в предыдущем варианте. Тогда я рекомендую использовать маршрут Tor Only, чтобы сохранить все преимущества изоляции потока (или Tor over VPN, если вам это необходимо).
  • Если стоимость является проблемой, я рекомендую использовать только Tor, если это возможно.
  • Если и Tor, и VPN невозможны или опасны, у вас нет другого выбора, кроме как полагаться на общественный wi-fi. См. Приложение P: Безопасный доступ в интернет, когда Tor и VPN невозможны.

Для получения дополнительной информации вы также можете посмотреть обсуждения здесь, которые могут помочь вам принять решение:


 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Получите анонимный VPN/прокси.


Пропустите этот шаг, если вы хотите использовать только Tor.


См. Приложение O: Получение анонимного VPN/прокси.


Whonix.


Пропустите этот шаг, если вы не можете использовать Tor.


Этот маршрут будет использовать виртуализацию и Whonix309 как часть процесса анонимизации. Whonix - это дистрибутив Linux, состоящий из двух виртуальных машин:


  • Рабочая станция Whonix (это виртуальная машина, на которой вы можете выполнять конфиденциальные действия)
  • Шлюз Whonix (эта ВМ будет устанавливать соединение с сетью Tor и направлять весь сетевой трафик с рабочей станции через сеть Tor).

Таким образом, в данном руководстве будет предложено 2 варианта этого маршрута:


  • Маршрут только Whonix, при котором весь трафик направляется через сеть Tor (только Tor или Tor over VPN).
2021 08 05 08 13

Гибридный маршрут Whonix, где весь трафик направляется через VPN с оплатой наличными (предпочтительно)/Monero через сеть Tor (VPN через Tor или VPN через Tor через VPN).

2021 08 05 08 13 1

Вы сможете решить, какой вариант использовать, основываясь на моих рекомендациях. Я рекомендую второй, как уже объяснялось ранее.


Whonix хорошо поддерживается и имеет обширную и невероятно подробную документацию.


Замечание по поводу моментальных снимков Virtualbox.


Позже вы создадите и запустите несколько виртуальных машин в Virtualbox для своей важной деятельности. Virtualbox предоставляет функцию под названием "Снимки", которая позволяет сохранять состояние виртуальной машины в любой момент времени. Если по какой-либо причине позже вы захотите вернуться к этому состоянию, вы сможете восстановить снимок в любой момент.


Я настоятельно рекомендую использовать эту функцию, создавая снимок после первоначальной установки / обновления каждой ВМ. Этот снимок должен быть сделан до их использования для любой конфиденциальной/анонимной деятельности.


Это позволит вам превратить ваши ВМ в своего рода одноразовые "живые операционные системы" (как Tails, о котором мы говорили ранее). Это означает, что вы сможете стереть все следы своей деятельности в ВМ, восстановив моментальный снимок в более раннее состояние. Конечно, это будет не так хорошо, как в Tails (где все хранится в памяти), так как на жестком диске могут остаться следы этой деятельности. Криминалистические исследования показали возможность восстановления данных из реверсированной виртуальной машины. К счастью, существуют способы удаления этих следов после удаления или возврата к предыдущему снимку. Такие способы будут рассмотрены в разделе " Некоторые дополнительные меры против криминалистов" данного руководства.


Скачайте утилиты Virtualbox и Whonix.


В хостовой ОС необходимо загрузить несколько программ.


  • Последнюю версию программы установки Virtualbox в соответствии с вашей хостовой ОС https://www.virtualbox.org/wiki/Downloads [Archive.org].
  • (Пропустите это, если вы не можете использовать Tor нативно или через VPN) Последняя версия OVA-файла Whonix с https://www.whonix.org/wiki/Download [Archive.org] в соответствии с вашими предпочтениями (Linux/Windows, с интерфейсом рабочего стола XFCE для простоты или только с текстовым клиентом для опытных пользователей).

На этом подготовка завершена, и теперь вы должны быть готовы приступить к настройке окончательного окружения, которое будет защищать вашу анонимность в Интернете.


Рекомендации по усилению Virtualbox.


Для обеспечения идеальной безопасности вам следует следовать рекомендациям, приведенным здесь для каждой виртуальной машины Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:


  • Отключите аудио.
  • Не включайте общие папки.
  • Не включайте 2D-ускорение. Это делается с помощью следующей команды VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
  • Не включайте 3D-ускорение.
  • Не включайте последовательный порт.
  • Удалите дисковод для флоппи-дисков.
  • Удалите привод CD/DVD.
  • Не включайте сервер удаленного отображения.
  • Включите PAE/NX (NX - это функция безопасности).
  • Отключите интерфейс расширенной конфигурации и питания (ACPI). Это делается с помощью следующей команды VBoxManage modifyvm "vm-id" --acpi on|off
  • Не подключайте USB-устройства.
  • Отключите USB-контроллер, который включен по умолчанию. Установите для Pointing Device значение "PS/2 Mouse", иначе изменения вернутся.

Наконец, также следуйте этой рекомендации для рассинхронизации часов вашей виртуальной машины по сравнению с хостовой ОС https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org].


Это смещение должно быть в диапазоне 60000 миллисекунд и должно быть разным для каждой ВМ, вот несколько примеров (которые впоследствии можно применить к любой ВМ):


  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Также рассмотрите возможность применения этих мер из VirtualBox для устранения уязвимостей Spectre/Meltdown, выполнив эту команду из каталога программ VirtualBox. Все они описаны здесь: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (имейте в виду, что они могут сильно повлиять на производительность ваших виртуальных машин, но должны быть выполнены для обеспечения наилучшей безопасности).


Наконец, обратите внимание на советы по безопасности от самой компании Virtualbox: https: //www.virtualbox.org/manual/ch13.html [Archive.org].
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Tor через VPN.


Пропустите этот шаг, если вы не собираетесь использовать Tor через VPN и только собираетесь использовать Tor или не можете.


Если вы собираетесь использовать Tor через VPN по какой-либо причине. Сначала вы должны настроить службу VPN на вашей ОС.


Помните, что в этом случае я рекомендую завести два VPN-аккаунта. Оба оплачены наличными/монеро (см. Приложение O: Получение анонимного VPN/прокси). Один будет использоваться в хостовой ОС для первого VPN-соединения. Другой можно использовать в виртуальной машине для достижения VPN через Tor через VPN (User > VPN > Tor > VPN).


Если вы собираетесь использовать только Tor over VPN, вам понадобится только одна учетная запись VPN.


Инструкции см. в Приложении R: Установка VPN на ВМ или хостовой ОС.
 

HEISENBERG

Administrator
ADMIN
Joined
Jun 24, 2021
Messages
1,654
Solutions
2
Reaction score
1,770
Points
113
Deals
666

Виртуальные машины Whonix.


Пропустите этот шаг, если вы не можете использовать Tor.


  • Запустите Virtualbox на хостовой ОС.
  • Импортируйте файл Whonix в Virtualbox, следуя инструкциям на сайте https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
  • Запустите виртуальные машины Whonix.

На этом этапе помните, что если у вас возникли проблемы с подключением к Tor из-за цензуры или блокировки, вы должны рассмотреть возможность подключения с помощью Bridges, как объясняется в этом руководстве https://www.whonix.org/wiki/Bridges [Archive.org].


  • Обновите виртуальные машины Whonix, следуя инструкциям на https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org].
  • Выключите виртуальные машины Whonix.
  • Сделайте моментальный снимок обновленных ВМ Whonix в Virtualbox (выберите ВМ и нажмите кнопку Take Snapshot). Подробнее об этом позже.
  • Перейдите к следующему шагу

Важное замечание: вам также следует прочитать эти очень хорошие рекомендации на сайте https://www.whonix.org/wiki/DoNot [Archive.org] , поскольку большинство этих принципов применимы и к данному руководству. Вы также должны прочитать их общую документацию здесь https://www.whonix.org/wiki/Documentation [Archive.org] , которая также содержит множество советов, подобных этому руководству.
 
Top