Tails.
Tails отлично подходит для этого: вам не о чем беспокоиться, даже если вы используете SSD-накопитель. Выключите его, и все исчезнет, как только память уменьшится.
Whonix.
Обратите внимание, что Whonix можно запустить в режиме Live, не оставляя следов при выключении виртуальных машин. Почитайте их документацию здесь
https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] и здесь
https://www.whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic [Archive.org].
MacOS.
Гостевая ОС.
Вернитесь к предыдущему снимку в Virtualbox (или любом другом используемом программном обеспечении ВМ) и выполните команду Trim на Mac с помощью Disk Utility, снова выполнив первую помощь на Host OS, как описано в конце следующего раздела.
Хостовая ОС.
Большую часть информации из этого раздела можно также найти в этом хорошем руководстве
https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org].
База данных карантина (используется Gatekeeper и XProtect).
MacOS (до Big Sur включительно) хранит базу данных Quarantine SQL, содержащую все файлы, которые вы когда-либо загружали из браузера. Эта база данных находится по адресу ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.
Вы можете запросить ее самостоятельно, выполнив следующую команду в терминале: sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent".
Очевидно, что это золотая жила для криминалистов, и вам следует отключить эту функцию:
- Выполните следующую команду, чтобы полностью очистить базу данных: :>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
- Выполните следующую команду, чтобы заблокировать файл и предотвратить дальнейшую запись в него истории загрузок: sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Наконец, вы можете полностью отключить Gatekeeper, выполнив следующую команду в терминале:
- sudo spctl --master-disable
За дополнительной информацией обращайтесь к этому разделу данного руководства
https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect [Archive.org].
В дополнение к этой удобной базе данных, каждый сохраненный файл будет содержать подробные атрибуты файловой системы HFS+/APFS, показывающие, например, когда он был загружен, с чем и откуда.
Вы можете просмотреть их, просто открыв терминал и набрав mdls filename и xattr -l filename на любом загруженном файле из любого браузера.
Чтобы удалить такие атрибуты, вам придется сделать это вручную из терминала:
- Запустите xattr -d com.apple.metadata:kMDItemWhereFroms filename, чтобы удалить происхождение
- Вы также можете просто использовать -dr, чтобы сделать это рекурсивно для всей папки/диска
- Выполните xattr -d com.apple.quarantine filename, чтобы удалить ссылку на карантин
- Вы также можете просто использовать -dr, чтобы сделать это рекурсивно для всей папки/диска.
- Проверьте, запустив xattr --l filename, и никаких результатов быть не должно
(Обратите внимание, что Apple убрала удобную опцию xattr -c, которая удаляла все атрибуты сразу, поэтому вам придется делать это для каждого атрибута каждого файла)
Эти атрибуты и записи останутся, даже если вы очистите историю браузера, а это, очевидно, плохо для конфиденциальности (верно?), и я не знаю ни одного удобного инструмента, который бы справился с ними на данный момент.
К счастью, есть некоторые средства, позволяющие избежать этой проблемы, поскольку эти атрибуты и записи устанавливаются браузерами. Итак, я протестировал различные браузеры (на MacOS Catalina и Big Sur), и вот результаты на момент написания этого руководства:
| Браузер | Запись в БД карантина | Атрибут файла карантина | Атрибут файла происхождения |
|---|
| Safari (Обычный) | Да | Да | Да |
| Safari (Личное окно) | Нет | Нет | Нет |
| Firefox (Обычный) | Да | Да | Да |
| Firefox (Частное окно) | Нет | Нет | Нет |
| Chrome (Обычный) | Да | Да | Да |
| Chrome (Частное окно) | Частично (только метка времени) | Нет | Нет |
| Ungoogled-Chromium (Обычный) | Нет | Нет | Нет |
| Ungoogled-Chromium (Личное окно) | Нет | Нет | Нет |
| Храбрый (Обычный) | Частично (только метка времени) | Нет | Нет |
| Храбрый (личное окно) | Частично (только метка времени) | Нет | Нет |
| Brave (Tor Window) | Частично (только метка времени) | Нет | Нет |
| Tor Browser | Нет | Нет | Нет |
Как вы сами можете убедиться, проще всего использовать Private Windows. Они не записывают эти атрибуты происхождения/карантина и не хранят записи в базе данных QuarantineEventsV2.
Очистить QuarantineEventsV2 легко, как объяснялось выше. Удаление атрибутов требует некоторой работы.
Brave - единственный протестированный браузер, который не сохраняет эти атрибуты по умолчанию при нормальной работе.
Различные артефакты.
Кроме того, MacOS хранит различные журналы установленных устройств, подключенных устройств, известных сетей, аналитики, ревизий документов...
Руководство по поиску и удалению таких артефактов см. в этом разделе руководства:
https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts [Archive.org].
Многие из них можно удалить с помощью различных коммерческих инструментов сторонних разработчиков, но лично я рекомендую использовать бесплатный и хорошо известный Onyx, который вы можете найти здесь:
https://www.titanium-software.fr/en/onyx.html [Archive.org]. К сожалению, он имеет закрытый исходный код, но зато он нотариально заверен, подписан и пользуется доверием уже много лет.
Принудительное выполнение операции Trim после очистки.
- Если ваша файловая система - APFS, вам не нужно беспокоиться об операции Trim, она происходит асинхронно по мере записи данных в ОС.
- Если ваша файловая система - HFS+ (или любая другая, кроме APFS), вы можете запустить First Aid на системном диске из Disk Utility, которая должна выполнить операцию Trim в деталях(https://support.apple.com/en-us/HT210898 [Archive.org]).
Linux (Qubes OS).
Пожалуйста, примите во внимание их руководство
https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md [Archive.org].
Если вы используете Whonix на Qubes OS, пожалуйста, рассмотрите некоторые из их руководств:
Linux (не Qubes).
Гостевая ОС.
Вернитесь к предыдущему снимку гостевой виртуальной машины в Virtualbox (или любом другом используемом вами программном обеспечении для виртуальных машин) и выполните команду обрезки на ноутбуке с помощью fstrim --all. Эта утилита входит в пакет util-linux на Debian/Ubuntu и должна быть установлена по умолчанию на Fedora. Затем перейдите к следующему разделу.
Операционная система хоста.
Обычно вам не нужно чистить следы в хостовой ОС, так как вы все делаете из виртуальной машины, если следуете этому руководству.
Тем не менее, вы можете захотеть очистить некоторые журналы. Просто воспользуйтесь этим удобным инструментом:
https://web.archive.org/web/https://github.com/sundowndev/go-covermyass (инструкции на странице, для загрузки перейдите в раздел релизов, этот репозиторий недавно был удален).
После очистки убедитесь, что у вас установлена утилита fstrim (она должна быть по умолчанию в Fedora) и входит в пакет util-linux в Debian/Ubuntu. Затем просто запустите fstrim --all на хостовой ОС. Этого должно быть достаточно для SSD-накопителей, как объяснялось ранее.
Рассмотрите возможность использования Linux Kernel Guard в качестве дополнительной меры
https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG [Archive.org].
Windows.
Гостевая ОС.
Вернитесь к предыдущему снимку в Virtualbox (или любом другом используемом программном обеспечении VM) и выполните команду обрезки в Windows с помощью Optimize, как объясняется в конце следующего раздела.
Host OS.
Теперь, когда вы проделали кучу действий с виртуальными машинами или хост-операционной системой, вам следует уделить время тому, чтобы замести следы.
Большинство этих действий не должны выполняться на Decoy OS в случае использования правдоподобного отрицания. Это связано с тем, что вы хотите сохранить для противника ложные/правдоподобные следы разумной, но не секретной деятельности. Если все будет чисто, вы можете вызвать подозрения.
Диагностические данные и телеметрия.
Сначала давайте избавимся от всех диагностических данных, которые еще могут быть там:
(Пропустите этот шаг, если вы используете Windows 10 AME)
- После каждого использования устройств Windows зайдите в "Настройки", "Конфиденциальность", "Диагностика и обратная связь" и нажмите "Удалить".
Затем давайте заново рандомизируем MAC-адреса виртуальных машин и Bluetooth-адреса хост-операционной системы.
- После каждого выключения виртуальной машины Windows измените ее MAC-адрес для следующего раза, зайдя в Virtualbox > Выберите виртуальную машину > Настройки > Сеть > Дополнительно > Обновить MAC-адрес.
- После каждого использования хост-операционной системы Windows (у вашей ВМ вообще не должно быть Bluetooth) зайдите в диспетчер устройств, выберите Bluetooth, отключите устройство и включите его снова (это заставит произвести рандомизацию адреса Bluetooth).
Журналы событий.
В журналах событий Windows хранится много различной информации, которая может содержать следы вашей деятельности, например устройства, которые были смонтированы (включая тома Veracrypt NTFS,
например294), сетевые подключения, информация о сбоях приложений и различных ошибках. Лучше всего регулярно очищать их. Не делайте этого в Decoy OS.
- Запустите "Пуск", найдите "Просмотр событий" и запустите "Просмотр событий":
- Зайдите в журналы Windows.
- Выберите и очистите все 5 журналов с помощью правой кнопки мыши.
История Veracrypt.
По умолчанию Veracrypt сохраняет историю недавно смонтированных томов и файлов. Вы должны сделать так, чтобы Veracrypt никогда не сохранял историю. Опять же, не делайте этого на Decoy OS, если вы используете правдоподобное отрицание для этой ОС. Нам нужно сохранить историю монтирования ложного тома как часть правдоподобного отрицания.
- Запустите Veracrypt
- Убедитесь, что флажок "Никогда не сохранять историю" установлен (он не должен быть установлен на ложной ОС).
Теперь вам следует очистить историю всех приложений, которые вы использовали, включая историю браузера, файлы cookie, сохраненные пароли, сессии и историю форм.
История браузера.
- Brave (в случае, если вы не включили очистку при выходе)
- Зайдите в Настройки
- Перейдите в раздел "Щиты
- Перейдите в раздел Очистка данных просмотра
- Выберите "Дополнительно
- Выберите "Все время"
- Проверьте все опции
- Очистить данные
- Tor Browser
- Просто закройте браузер, и все будет очищено
История Wi-Fi.
Теперь пришло время очистить историю Wi-Fi, к которому вы подключаетесь. К сожалению, Windows продолжает хранить список прошлых сетей в реестре, даже если вы "забыли" их в настройках Wi-Fi. Насколько я знаю, пока нет утилит для их очистки (например, BleachBit или PrivaZer), поэтому вам придется делать это вручную:
- Запустите Regedit, используя это руководство: https://support.microsoft.com/en-us...ndows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 [Archive.org].
- В Regedit введите в адресную строку следующее: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
- Там вы увидите кучу папок справа. Каждая из этих папок является "ключом". Каждый из этих ключей содержит информацию о текущем известном Wi-Fi или о прошлых сетях, которые вы использовали. Вы можете изучить их по одному и посмотреть описание справа.
- Удалите все эти ключи.
Мешки оболочки.
Как уже объяснялось ранее, Shellbags - это история обращений к томам/файлам на вашем компьютере. Помните, что Shellbags - это очень хороший источник информации для
криминалистов287, и вам необходимо их очистить. Особенно если вы смонтировали где-либо "скрытый том". Опять же, вы не должны делать этого на Decoy OS.
- Скачать Shellbag Analyzer & Cleaner можно с сайта https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php [Archive.org].
- Запустите его
- Проанализируйте .
- Нажмите Clean и выберите:
- Удаленные папки
- Папки в сети / на внешних устройствах
- Результаты поиска
- Выберите расширенный
- Отметьте все пункты, кроме двух вариантов резервного копирования (не создавать резервные копии)
- Выберите очистку SSD (если у вас есть SSD).
- Выберите 1 проход (Все нули)
- Очистить
Очистка с помощью дополнительных инструментов.
После очистки предыдущих следов следует также воспользоваться сторонними утилитами, с помощью которых можно очистить различные следы. К ним относятся следы удаленных файлов/папок.
Прежде чем продолжить, обратитесь к
Приложению H: Инструменты очистки Windows.
PrivaZer.
Ниже приведены шаги для PrivaZer:
- Загрузите и установите PrivaZer с сайта https://privazer.com/en/download.php [Archive.org].
- Запустите PrivaZer после установки.
- Не используйте мастер установки
- Выберите Advanced User
- Выберите "Глубокое сканирование" и выберите цель.
- Выберите Все, что вы хотите просканировать, и нажмите кнопку Сканировать
- Выберите, что вы хотите очистить (пропустите часть, касающуюся мешков с оболочкой, поскольку для этого вы использовали другую утилиту)
- При использовании SSD-накопителя часть очистки свободного пространства лучше пропустить, а вместо этого воспользоваться встроенной функцией Windows Optimize (см. ниже), которой должно быть более чем достаточно. Я бы использовал эту функцию только на жестком диске.
- (Если вы выбрали очистку свободного пространства) Выберите Clean Options (Параметры очистки) и убедитесь, что тип вашего накопителя правильно определен (HDD против SSD).
- (Если вы выбрали очистку свободного пространства) Внутри Clean Options (будьте осторожны с этой опцией, так как она удалит все свободное пространство на выбранном разделе, особенно если на нем установлена ложная ОС. Не удаляйте свободное пространство или что-либо еще на втором разделе, так как вы рискуете уничтожить свою скрытую ОС)
- Если у вас SSD-накопитель:
- Вкладка "Безопасная перезапись": Лично я выбрал бы обычное удаление + обрезку (обрезки должно быть достаточно). Безопасное удаление с обрезкой (1 проход) может быть излишним, если вы все равно собираетесь перезаписать свободное пространство.
- Вкладка "Свободное пространство": Лично я, опять же "на всякий случай", выбрал бы Обычную очистку, которая заполнит все свободное пространство данными. Я не очень доверяю Smart Cleanup, поскольку она действительно не заполняет данными все свободное пространство SSD. Но, опять же, я думаю, что в большинстве случаев это не нужно и излишне.
- Если у вас жесткий диск:
- Вкладка "Безопасная перезапись": Я бы просто выбрал Безопасное удаление (1 проход).
- Свободное пространство: Я бы просто выбрал Smart Cleanup, поскольку на HDD-диске нет причин перезаписывать сектора без данных.
- Выберите Clean (Очистка) и выберите свой вкус:
- Turbo Cleanup выполняет только обычное удаление (на HDD/SSD) и не очищает свободное пространство. Она не является безопасной ни на HDD, ни на SSD.
- Quick Cleanup выполняет безопасное удаление (на HDD) и обычное удаление + обрезка (на SSD), но не очищает свободное пространство. Я думаю, что это достаточно безопасно для SSD, но не для HDD.
- Normal Cleanup выполнит безопасное удаление (на HDD) и обычное удаление + обрезку (на SSD), а затем очистит все свободное пространство (Smart Cleanup на HDD и Full Cleanup на SSD), что должно быть безопасно. Я считаю, что этот вариант лучше всего подходит для HDD, но совершенно излишен для SSD.
- Нажмите Clean и дождитесь окончания очистки. Это может занять некоторое время и заполнит все свободное пространство данными.
BleachBit.
Вот шаги для BleachBit:
- Получите и установите последнюю версию от BleachBit здесь https://www.bleachbit.org/download [Archive.org].
- Запустите BleachBit
- Очистите, по крайней мере, все в этих разделах:
- Глубокое сканирование
- Защитник Windows
- Проводник Windows (включая Shellbags)
- Система
- Выберите любые другие следы, которые вы хотите удалить, из их списка
- Как и в случае с предыдущей утилитой, я не стал бы очищать свободное пространство на SSD-накопителе, поскольку считаю, что штатной утилиты Windows "Оптимизация" вполне достаточно (см. ниже), а заполнение свободного пространства на SSD с поддержкой обрезки - это просто излишество и ненужность.
- Нажмите Clean и подождите. Это займет некоторое время и заполнит все свободное пространство данными как на HDD, так и на SSD.
Принудительная обрезка с помощью Windows Optimize (для SSD-накопителей).
С помощью этой нативной утилиты Windows 10 можно просто запустить процедуру Trim на SSD, чего будет более чем достаточно для безопасной очистки всех удаленных файлов, которые каким-то образом избежали Trim при удалении.
Просто откройте проводник Windows, щелкните правой кнопкой мыши на системном диске и выберите "Свойства". Выберите Инструменты. Нажмите Оптимизировать, а затем Оптимизировать снова. Все готово. На мой взгляд, этого вполне достаточно.
