Çevrimiçi Anonimlik Rehberi (https://anonymousplanet.org/ tarafından)

Kullanım riski size aittir. Lütfen bu kılavuzu her şey için kesin bir gerçek olarak kabul etmeyin, çünkü değildir.

Spoiler: İçindekiler Tablosu

• Giriş:
• Bazı bilgilerin size nasıl geri dönebileceğine ve bazılarını nasıl azaltabileceğinize dair bazı temel bilgileri anlamak:
  • Ağınız:
    • IP adresiniz:
    • DNS ve IP istekleriniz:
    • RFID özellikli cihazlarınız:
    • Çevrenizdeki Wi-Fi ve Bluetooth cihazları:
    • Kötü Amaçlı/Sahte Wi-Fi Erişim Noktaları:
    • Anonimleştirilmiş Tor/VPN trafiğiniz:
    • Bazı Cihazlar çevrimdışıyken bile izlenebilir:
  • Donanım Tanımlayıcılarınız:
    • IMEI ve IMSI'niz (ve buna bağlı olarak telefon numaranız):
    • Wi-Fi veya Ethernet MAC adresiniz:
    • Bluetooth MAC adresiniz:
  • İşlemciniz:
  • İşletim Sistemleriniz ve Uygulama telemetri hizmetleriniz:
  • Genel olarak Akıllı cihazlarınız:
  • Kendiniz:
    • Coğrafi Konumunuz da dahil olmak üzere Meta Verileriniz:
    • Dijital Parmak İziniz, Ayak İziniz ve Çevrimiçi Davranışınız:
    • Gerçek Hayatınız ve OSINT hakkındaki ipuçlarınız:
    • Yüzünüz, Sesiniz, Biyometriniz ve Resimleriniz:
    • Kimlik Avı ve Sosyal Mühendislik:
  • Kötü amaçlı yazılımlar, istismarlar ve virüsler:
    • Dosyalarınızdaki/belgelerinizdeki/e-postalarınızdaki kötü amaçlı yazılımlar:
    • Uygulamalarınız ve hizmetlerinizdeki kötü amaçlı yazılımlar ve istismarlar:
    • Kötü amaçlı USB aygıtları:
    • Donanım Ürün Yazılımınız ve İşletim Sisteminizdeki kötü amaçlı yazılımlar ve arka kapılar:
  • Dosyalarınız, belgeleriniz, resimleriniz ve videolarınız:
    • Özellikler ve Meta Veriler:
    • Filigran ekleme:
    • Pikselleştirilmiş veya Bulanık Bilgiler:
  • Kripto para birimi işlemleriniz:
  • Bulut yedeklemeleriniz/senkronizasyon hizmetleriniz:
  • Tarayıcı ve Cihaz Parmak İzleriniz:
  • Yerel Veri Sızıntıları ve Adli Tıp:
  • Kötü Kriptografi:
  • Kayıt yok ama yine de kayıt politikaları:
  • Bazı Gelişmiş hedefli teknikler:
  • Bazı bonus kaynaklar:
  • Notlar:
• Genel Hazırlıklar:
  • Rotanızı seçmek:
    • Zamanlama sınırlamaları:
    • Bütçe/Malzeme sınırlamaları:
    • Beceriler:
    • Düşmanlar (tehditler):
  • Tüm rotalar için adımlar:
    • Anonim bir telefon numarası alın:
    • Bir USB anahtarı edinin:
    • Halka açık iyi Wi-Fi olan bazı güvenli yerler bulun:
  • TAILS rotası:
    • TAILS içinde Whonix kullanarak Kalıcı Makul İnkar Edilebilirlik:
  • Diğer tüm rotalar için adımlar:
    • Hassas faaliyetleriniz için özel bir dizüstü bilgisayar edinin:
    • Bazı dizüstü bilgisayar önerileri:
    • Dizüstü bilgisayarınızın Bios/UEFI/Firmware Ayarları:
    • Dizüstü bilgisayarınızı fiziksel olarak kurcalamaya karşı koruyun:
  • Whonix rotası:
    • Ana İşletim Sisteminizi Seçme (dizüstü bilgisayarınızda yüklü olan işletim sistemi):
    • Linux Ana İşletim Sistemi:
    • MacOS Ana İşletim Sistemi:
    • Windows Ana İşletim Sistemi:
    • Ana İşletim Sisteminizde Virtualbox:
    • Bağlantı yönteminizi seçin:
    • Anonim bir VPN/Proxy edinin:
    • Whonix:
    • VPN üzerinden Tor:
    • Whonix Sanal Makineler:
    • Konuk iş istasyonu Sanal Makinenizi seçin:
    • Linux Sanal Makinesi (Whonix veya Linux):
    • Windows 10 Sanal Makine:
    • Android Sanal Makine:
    • MacOS Sanal Makine:
    • KeepassXC:
    • VPN istemci kurulumu (nakit/Monero ödemeli):
    • (İsteğe bağlı) herhangi bir sızıntıyı önlemek için Ana İşletim Sistemini keserken yalnızca VM'lerin internete erişmesine izin verir:
    • Son adım:
  • Qubes Rotası:
    • Bağlantı yönteminizi seçin:
    • Anonim bir VPN/Proxy edinin:
    • Kurulum:
    • Kapak Kapatma Davranışı:
    • Herkese Açık Wi-Fi'ye bağlanın:
    • Qubes İşletim Sistemini Güncelleyin:
    • Qubes İşletim Sistemini Sertleştirme:
    • VPN ProxyVM'yi Kurun:
    • Qube OS içinde güvenli bir Tarayıcı kurun (isteğe bağlı ancak önerilir):
    • Bir Android VM kurun:
    • KeePassXC:
• Anonim çevrimiçi kimliklerinizi oluşturma:
  • Anonimliği önlemek ve kimliği doğrulamak için kullanılan yöntemleri anlama:
    • Captcha'lar:
    • Telefon doğrulaması:
    • E-Posta doğrulaması:
    • Kullanıcı bilgileri kontrolü:
    • Kimlik doğrulama kanıtı:
    • IP Filtreleri:
    • Tarayıcı ve Cihaz Parmak İzi:
    • İnsan etkileşimi:
    • Kullanıcı Moderasyonu:
    • Davranışsal Analiz:
    • Finansal işlemler:
    • Bazı platformlarla oturum açma:
    • Canlı Yüz tanıma ve biyometri (tekrar):
    • Manuel incelemeler:
  • Çevrimiçi Olma:
    • Yeni kimlikler oluşturma:
    • Gerçek İsim Sistemi:
    • Ücretli hizmetler hakkında:
    • Genel bakış:
    • Anonim olarak dosya paylaşma veya sohbet etme:
    • Belgeleri/Resimleri/Videoları/Sesleri güvenli bir şekilde redakte etme:
    • Hassas bilgileri bilinen çeşitli kuruluşlara iletme:
    • Bakım görevleri:
• Çalışmanızı güvenli bir şekilde yedekleme:
  • Çevrimdışı Yedeklemeler:
    • Seçili Dosyaları Yedekleme:
    • Tam Disk/Sistem Yedeklemeleri:
  • Çevrimiçi Yedeklemeler:
    • Dosyalar:
    • Bilgi:
  • Dosyalarınızı cihazlar arasında senkronize etme Çevrimiçi:
• İzlerinizi örtmek:
  • HDD ve SSD'yi Anlama:
    • Aşınma Seviyelendirme.
    • Kırpma İşlemleri:
    • Çöp Toplama:
    • Sonuç:
  • Her şeyi silmek istiyorsanız tüm Dizüstü Bilgisayarınızı / Sürücülerinizi nasıl güvenli bir şekilde silebilirsiniz:
    • Linux (Qubes OS dahil tüm sürümler):
    • Windows:
    • MacOS:
  • HDD/SSD ve Thumb sürücülerinizdeki belirli dosyaları/klasörleri/verileri güvenli bir şekilde silme:
    • Windows:
    • Linux (Qubes OS olmayan):
    • Linux (Qubes OS):
    • MacOS:
  • Adli tıpa karşı bazı ek önlemler:
    • Dosyalar/Belgeler/Resimlerden Meta Verileri Kaldırma:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (Qubes olmayan):
    • Windows:
  • Arama motorlarında ve çeşitli platformlarda kimliklerinizin bazı izlerini kaldırmak:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant
    • Yahoo Arama
    • Baidu
    • Wikipedia
    • Archive.today:
    • İnternet Arşivi:
• Bazı düşük teknolojili eski okul hileleri:
  • Göz önündeki gizli iletişimler:
  • Birinin eşyalarınızı aradığını nasıl anlarsınız?
• Bazı son OPSEC düşünceleri:
• Eğer yandığınızı düşünüyorsanız:
  • Eğer biraz zamanınız varsa:
  • Eğer hiç zamanınız yoksa:
• Küçük bir son editoryal not

 

[HEISENBERG]

Bütçe/Materyal sınırlamaları.

• Sadece bir dizüstü bilgisayarınız var ve başka bir şeye gücünüz yetmiyor. Bu dizüstü bilgisayarı iş, aile veya kişisel işleriniz (ya da her ikisi) için kullanıyorsunuz:
  
  • En iyi seçeneğiniz Tails yolunu tercih etmektir.
• Hassas faaliyetleriniz için yedek bir denetimsiz/izlenmeyen dizüstü bilgisayarı karşılayabilirsiniz:
  
  • Ancak eski, yavaş ve kötü özelliklere sahip (6GB'tan az RAM, 250GB'tan az disk alanı, eski/yavaş CPU):
    
    • Tails yolunu tercih etmelisiniz.
  • O kadar eski değil ve iyi özelliklere sahip (en az 6 GB RAM, 250 GB veya daha fazla disk alanı, iyi bir CPU):
    
    • Tails, Whonix rotalarına gidebilirsiniz.
  • Yeni ve harika özelliklere sahip (8GB'tan fazla RAM, >250GB disk alanı, yeni hızlı CPU):
    
    • Herhangi bir yolu seçebilirsiniz ancak tehdit modeliniz buna izin veriyorsa Qubes OS'yi tavsiye ederim.
  • Eğer ARM tabanlı bir M1 Mac ise:
    
    • Bu nedenlerden dolayı şu anda mümkün değildir:
      
      • ARM M1 Mac'lerde x86 görüntülerinin sanallaştırılması hala Whonix tarafından henüz desteklenmeyen ticari yazılımlarla (Parallels) sınırlıdır.
      • Virtualbox henüz ARM mimarisi için mevcut değildir.
      • Whonix henüz ARM mimarisinde desteklenmiyor.
      • Tails henüz ARM mimarisinde desteklenmiyor.
      • Qubes OS henüz ARM mimarisinde desteklenmiyor.

M1 Mac'lerde tek seçeneğiniz muhtemelen şimdilik Tor Browses ile devam etmek. Ancak bir M1 Mac alabiliyorsanız, daha hassas faaliyetler için özel bir x86 dizüstü bilgisayar almanız gerektiğini tahmin ediyorum.

 

[HEISENBERG]

Beceriler.

• Hiç BT beceriniz yok ve bu kılavuzun içeriği size yabancı bir dil gibi mi geliyor?
  
  • Tails rotasını izlemelisiniz (kalıcı makul inkar edilebilirlik bölümü hariç).
• Biraz BT beceriniz var ve şu ana kadar bu kılavuzu çoğunlukla anladınız
  
  • Tails (kalıcı makul inkar edilebilirlik bölümü dahil) veya Whonix rotalarını kullanmalısınız.
• Orta ila yüksek BT becerileriniz var ve bu kılavuzun içeriğinin bir kısmına zaten aşinasınız
  
  • İstediğiniz herhangi bir şeyle gidebilirsiniz, ancak Qubes OS'yi şiddetle tavsiye ederim.
• Sen bir l33T hackerısın, "kaşık yok", "pasta yalan", yıllardır "doas" kullanıyorsun ve "tüm tabanınız bize ait" ve systemd hakkında güçlü fikirlerin var.
  
  • Bu kılavuz gerçekten sizin için değildir ve sertleştirilmiş Libreboot dizüstü bilgisayarınızdaki HardenedBSD'nizde size yardımcı olmayacaktır ;-)

 

[HEISENBERG]

Düşmanlar (tehditler).

• Eğer asıl endişeniz cihazlarınızın adli incelemesi ise:
  
  • Tails yolunu seçmelisiniz (isteğe bağlı kalıcı makul inkar edilebilirlik ile).
• Ana endişeleriniz, çeşitli platformlarda çevrimiçi kimliğinizi ortaya çıkarabilecek uzak düşmanlarsa:
  
  • Whonix ya da Qubes OS yollarını seçebilirsiniz.
  • Tails ile de gidebilirsiniz (isteğe bağlı kalıcı makul inkar edilebilirlik ile).
• Risklere rağmen sistem genelinde makul inkar edilebilirlik istiyorsanız:
  
  • Kalıcı makul inkar edilebilirlik bölümü de dahil olmak üzere Tails Rotası ile gidebilirsiniz.
  • Whonix Rotasını kullanabilirsiniz (bu kılavuz kapsamında yalnızca Windows Ana İşletim Sisteminde).
• Tek başına Tor/VPN kullanımının imkansız/tehlikeli/şüpheli olduğu düşmanca bir ortamdaysanız:
  
  • Tails rotasını izleyebilirsiniz (Tor kullanmadan).
  • Whonix veya Qubes OS yolunu seçebilirsiniz (aslında Whonix kullanmadan).

Her durumda, Whonix dokümantasyonundaki bu iki sayfayı okumalısınız, bu size seçimleriniz hakkında derinlemesine bilgi verecektir:

• https://www.whonix.org/wiki/Warning [Archive.org]
• https://www.whonix.org/wiki/Dev/Threat_Model [Archive.org]
• https://www.whonix.org/wiki/Comparison_with_Others [Archive.org]

Kendinize soruyor olabilirsiniz: "Faaliyetlerin aktif olarak izlendiği ve engellendiği düşmanca bir çevrimiçi ortamda olup olmadığımı nasıl bilebilirim?"

• İlk olarak EFF'de daha fazlasını okuyun: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship [Archive.org]
• Tor Projesi OONI (Open Observatory of Network Interference) web sitesinde bazı verileri kendiniz kontrol edin: https://explorer.ooni.org/ [Archive.org]
• https://censoredplanet.org/ [Archive.org] adresine bir göz atın ve ülkeniz hakkında veri olup olmadığına bakın.
• OONI kullanarak kendiniz test edin (düşmanca bir ortamda bu riskli olabilir).

 

[HEISENBERG]

Tüm rotalar için adımlar.

Daha iyi parolalar kullanmaya alışın.

Ek A2'ye bakın : Parolalar ve parolalar için yönergeler.

Anonim bir Telefon numarası alın.

Çoğu ana akım platformda anonim hesap oluşturma niyetiniz yoksa, sadece anonim gezinmek istiyorsanız veya kullanacağınız platformlar telefon numarası olmadan kaydolmaya izin veriyorsa bu adımı atlayın.

Fiziksel Burner Telefon ve ön ödemeli SIM kart.

Kullan at bir telefon alın.

Bu oldukça kolay. Akıllı telefonunuzu kapalı bırakın veya ayrılmadan önce kapatın. Biraz nakit paranız olsun ve rastgele bir bit pazarına veya küçük bir dükkana gidin (ideal olarak içinde veya dışında CCTV olmayan ve fotoğrafı çekilmekten / filme alınmaktan kaçınan bir yere) ve nakit parayla ve herhangi bir kişisel bilgi vermeden bulabileceğiniz en ucuz telefonu satın alın. Sadece çalışır durumda olması yeterlidir.


Şahsen, çıkarılabilir bataryalı eski bir "dumbphone" almanızı tavsiye ederim (bazı ülkeler 1G-2G'yi tamamen kaldırdığı için mobil ağlarınız hala bunların bağlanmasına izin veriyorsa eski Nokia). Bu, telefonun kendisinde herhangi bir telemetri/teşhis verisinin otomatik olarak gönderilmesini/ toplanmasını önlemek içindir. Bu telefonu asla herhangi bir Wi-Fi'ye bağlamamalısınız.


Ayrıca, sizi ele verebilecek herhangi bir coğrafi konumda (örneğin evinizde/işinizde) ve asla bilinen diğer akıllı telefonunuzla aynı konumda (çünkü bu telefonun sizi kolayca ele verebilecek bir IMEI/IMSI'si vardır) bu brülör telefonu asla açmamanız (SIM kart olmadan bile) çok önemli olacaktır. Bu büyük bir yük gibi görünebilir, ancak bu telefonlar yalnızca kurulum / kayıt işlemi sırasında ve zaman zaman doğrulama için kullanıldığından değildir.


Bakınız Ek N: Akıllı telefonlar ve akıllı cihazlar hakkında uyarı


Bir sonraki adıma geçmeden önce telefonun çalışır durumda olduğunu test etmelisiniz. Ancak tekrar belirtmek isterim ki, giderken akıllı telefonunuzu evde bırakmanız (veya yanınızda bulundurmanız gerekiyorsa çıkmadan önce kapatmanız) ve telefonu size kadar takip edilemeyecek rastgele bir yerde test etmeniz önemlidir (ve yine, bunu bir CCTV'nin önünde yapmayın, kameralardan kaçının, çevrenizin farkında olun). Bu yerde Wi-Fi'ye de gerek yok.


Telefonun çalışır durumda olduğundan emin olduğunuzda, Bluetooth'u devre dışı bırakın, ardından kapatın (yapabiliyorsanız pili çıkarın) ve eve dönüp normal faaliyetlerinize devam edin. Bir sonraki adıma geçin.

Anonim bir ön ödemeli SIM kart edinin.

Bu, tüm rehberin en zor kısmıdır. Bu bir SPOF'tur (Tek Arıza Noktası). Kimlik kaydı olmadan hala ön ödemeli SIM kart satın alabileceğiniz yerler, çeşitli KYC tipi düzenlemeler nedeniyle giderek daha sınırlı hale geliyor.


İşte şu anda hala alabileceğiniz yerlerin bir listesi: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


"Çok uzak olmayan" bir yer bulabilmeli ve oraya fiziksel olarak giderek bazı ön ödemeli kartlar ve nakit para ile yükleme kuponları satın alabilmelisiniz. Gitmeden önce kaydı zorunlu kılacak herhangi bir yasa çıkmadığını doğrulayın (yukarıdaki wiki'nin güncellenmemiş olması durumunda). CCTV ve kameralardan kaçınmaya çalışın ve ön ödemeli kartların çoğu kullanmadan önce yükleme gerektireceğinden SIM kartla birlikte (paket değilse) bir Yükleme kuponu almayı unutmayın.


Bakınız Ek N: Akıllı telefonlar ve akıllı cihazlar hakkında uyarı


Ön ödemeli SIM kartları satan mobil operatörlerin, oraya gitmeden önce herhangi bir kimlik kaydı olmadan SIM aktivasyonunu ve kontör yüklemeyi kabul edip etmeyeceğini iki kez kontrol edin. İdeal olarak, SIM aktivasyonunu ve kontör yüklemeyi ikamet ettiğiniz ülkeden kabul etmelidirler.


Şahsen, Birleşik Krallık'ta "uygun fiyatlı" oldukları, aktivasyon ve yükleme için kimlik gerektirmedikleri ve hatta web sitelerinden numaranızı 2 defaya kadar değiştirmenize izin verdikleri için GiffGaff'ı tavsiye ederim. Bu nedenle bir GiffGaff ön ödemeli SIM kart size ihtiyaçlarınız için kullanabileceğiniz 3 numara verecektir.


Etkinleştirme/dolum işleminden sonra ve eve gitmeden önce telefonu kapatın. Kimliğinizi açığa çıkarmak için kullanılabilecek bir yerde değilseniz ve "eviniz olmayan" yere gitmeden önce akıllı telefonunuzu kapatmadığınız sürece bir daha asla açmayın.

Çevrimiçi Telefon Numarası (daha az önerilir).

UYARI: Seçilen yollardan birine göre güvenli bir ortam kurmayı tamamlamadan bunu denemeyin. Bu adım çevrimiçi erişim gerektirecektir ve yalnızca anonim bir ağdan yapılmalıdır. Bunu bilinen/güvenli olmayan herhangi bir ortamdan yapmayın. Rotalardan birini tamamlayana kadar bu adımı atlayın.


Çevrimiçi SMS mesajları almak için numaralar sunan birçok ticari hizmet vardır, ancak bunların çoğu temelde anonimlik / gizlilik içermez ve çoğu Sosyal Medya platformu bir telefon numarasının kayıt için kaç kez kullanılabileceğine dair bir sınır koyduğu için yardımcı olamaz.


Kullanıcıların küçük bir ücret karşılığında (PayPal veya kripto ödeme kullanarak) sizin için bu tür SMS mesajlarını alma hizmeti sunacakları bazı forumlar ve alt dizinler (r/phoneverification/ gibi) vardır. Ne yazık ki, bunlar dolandırıcılarla doludur ve anonimlik açısından çok risklidir. Bunları hiçbir koşulda kullanmamalısınız.


Bugüne kadar, bu hizmeti sunan ve bazı VPN sağlayıcıları gibi nakit ödemeleri (örneğin posta yoluyla) kabul eden saygın bir hizmet bilmiyorum. Ancak, çevrimiçi telefon numaraları sağlayan ve Monero'yu kabul eden, makul ölçüde anonim olabilecek (ancak önceki bölümdeki fiziksel yoldan daha az tavsiye edilen) birkaç hizmet var:

• Tavsiye edilir: Herhangi bir kimlik gerektirmez (e-posta bile):
  
  • (İngiltere merkezli, Bu yazının yazıldığı sırada Kullanılamıyor görünüyor) https://dtmf.io/ [Archive.org] tercih edilir çünkü http://dtmfiovjh42uviqez6qn75igbagtiyo724hy3rdxm77dy2m5tt7lbaqd.onion/ adresinde Tor Ağı üzerinden doğrudan erişim için bir soğan gizli hizmet adresi bile sağlarlar
  • (İzlanda merkezli) https://crypton.sh [Archive.org]
  • (Ukrayna merkezli) https://virtualsim.net/ [Archive.org]
• Kimlik (geçerli e-posta) gerekmektedir:
  
  • (Almanya merkezli) https://www.sms77.io/ [Archive.org]
  • (Rusya merkezli) https://onlinesim.ru/ [Archive.org]

Burada listelenen başka olasılıklar da var https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Riski size ait olmak üzere kullanın.


YASAL UYARI: Bu sağlayıcıların hiçbirine kefil olamam ve bu nedenle yine de fiziksel olarak kendiniz yapmanızı tavsiye edeceğim. Bu durumda Monero'nun anonimliğine güvenmek zorunda kalacaksınız ve gerçek kimliğinizi kullanarak herhangi bir kimlik tespiti gerektiren herhangi bir hizmeti kullanmamalısınız. Lütfen bu Monero Feragatnamesini okuyun.


Bu nedenle IMHO, kimlik kaydı gerektirmeden hala nakit olarak satan fiziksel yerlerden birinden ön ödemeli bir SIM kart almak muhtemelen daha uygun, daha ucuz ve daha az risklidir. Ancak en azından başka seçeneğiniz yoksa bir alternatif var.

Bir USB anahtarı edinin.

En az bir ya da iki adet uygun boyutta genel USB anahtarı edinin (en az 16GB ama ben 32GB tavsiye ederim).


Lütfen aşağıdaki gibi aldatıcı kendi kendini şifreleyen cihazlar satın almayın veya kullanmayın: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org]


Bazıları çok etkili olabilir, ancak çoğu gerçek bir koruma sağlamayan aldatıcı araçlardır.

Herkese açık iyi Wi-Fi olan bazı güvenli yerler bulun.

Halka açık Wi-Fi kullanarak hassas faaliyetlerinizi gerçekleştirebileceğiniz güvenli yerler bulmanız gerekir (herhangi bir hesap / kimlik kaydı olmadan, CCTV'lerden kaçının).


Bu, doğrudan size bağlı olmayan (eviniz/işiniz) ve rahatsız edilmeden bir süre Wi-Fi kullanabileceğiniz herhangi bir yer olabilir. Ama aynı zamanda, bunu kimse tarafından "fark edilmeden" yapabileceğiniz bir yer.


Starbucks'ın iyi bir fikir olduğunu düşünüyorsanız, tekrar düşünebilirsiniz:

• Muhtemelen tüm mağazalarında CCTV'ler vardır ve bu kayıtları bilinmeyen bir süre boyunca saklarlar.
• Çoğunda Wi-Fi erişim kodunu almak için bir kahve satın almanız gerekecektir. Bu kahveyi elektronik bir yöntemle öderseniz, Wi-Fi erişiminizi kimliğinizle ilişkilendirebileceklerdir.

Durumsal farkındalık çok önemlidir ve çevrenizin sürekli farkında olmalı ve Ebola'ya yakalanmış gibi turistik yerlerden kaçınmalısınız. Birisi selfie çekerken, TikTok videosu hazırlarken veya Instagram'ında bir seyahat fotoğrafı yayınlarken herhangi birinin fotoğrafında/videosunda görünmekten kaçınmak istersiniz. Eğer bunu yaparsanız, bu resimlerin tam meta verileri (zaman/tarih/coğrafi konum) ve yüzünüzle birlikte çevrimiçi (herkese açık veya özel) olma ihtimalinin yüksek olduğunu unutmayın. Bunların Facebook/Google/Yandex/Apple ve muhtemelen 3 mektup ajansı tarafından indekslenebileceğini ve indeksleneceğini unutmayın.


Bu henüz yerel polis memurlarınız tarafından kullanılamayacak olsa da, yakın gelecekte kullanılabilir.


Aynı yeri iki kez kullanmaktan kaçınmak için ideal olarak bunun gibi 3-5 farklı yere ihtiyacınız olacaktır. Bu kılavuzdaki çeşitli adımlar için haftalar boyunca birkaç seyahat gerekecektir.


Daha fazla güvenlik için bu yerlere güvenli bir mesafeden bağlanmayı da düşünebilirsiniz. Ek Q'ya bakın : Kamuya Açık Wi-Fi'lere güvenli bir mesafeden bağlanmak için uzun menzilli Anten kullanma.

 

[HEISENBERG]

Kuyruk rotası.

Kılavuzun bu bölümü, aşağıdakilerden birinin doğru olması durumunda Tails'i kurmanıza yardımcı olacaktır:

• Özel bir dizüstü bilgisayarı karşılayamazsınız
• Özel dizüstü bilgisayarınız çok eski ve çok yavaş
• Çok düşük BT becerileriniz var
• Yine de Tails ile gitmeye karar veriyorsun.

Tails, Amnesic Incognito Live System'in kısaltmasıdır. İz bırakmamak ve tüm bağlantıları Tor ağı üzerinden yapmaya zorlamak için tasarlanmış bir USB anahtarından çalışan önyüklenebilir bir Canlı İşletim Sistemidir.


Tails USB anahtarını dizüstü bilgisayarınıza yerleştirirsiniz, ondan önyükleme yaparsınız ve gizlilik ve anonimlik göz önünde bulundurularak çalışan tam bir işletim sistemine sahip olursunuz. Bilgisayarı kapattığınız anda, bir yere kaydetmediğiniz sürece her şey yok olacaktır.


Tails sahip olduklarınızla ve fazla bir şey öğrenmeden hemen kullanmaya başlamanın çok kolay bir yoludur. Kapsamlı belgelere ve öğreticilere sahiptir.


UYARI: Tails, paket yazılımlarıyla her zaman güncel değildir. Tor Browser güncellemeleri de her zaman güncel değildir. Her zaman Tails'in en son sürümünü kullandığınızdan emin olmalısınız ve Tails içinde istismara açık olabilecek ve konumunuzu açığa çıkarabilecek paket uygulamaları kullanırken çok dikkatliolmalısınız265.


Bununla birlikte bazı dezavantajları vardır:

• Tails Tor kullanır ve bu nedenle internetteki herhangi bir kaynağa erişmek için Tor kullanıyor olacaksınız. Bu tek başına sizi anonim hesaplar oluşturmak istediğiniz çoğu platform için şüpheli hale getirecektir (bu daha sonra daha ayrıntılı olarak açıklanacaktır).
• İSS'niz de (ister sizin ister halka açık bir Wi-Fi olsun) Tor kullandığınızı görecektir ve bu da sizi kendi içinde şüpheli hale getirebilir.
• Tails, daha sonra kullanmak isteyebileceğiniz bazı yazılımları (yerel olarak) içermez, bu da bazı özel şeyleri çalıştırmak istiyorsanız (örneğin Android Emülatörleri) işleri biraz zorlaştıracaktır.
• Tails, çok güvenli olmasına rağmen çoğu platform tarafından algılanacak ve birçok platformda anonim kimlikler oluşturmanızı engelleyecek olan Tor Browser'ı kullanır.
• Tails sizi 5$'lık wrench8'den daha fazla korumayacaktır.
• Tor tek başına sizi daha önce açıklandığı gibi yeterli kaynaklara sahip bir düşmandan korumak için yeterli olmayabilir.

Önemli Not: Dizüstü bilgisayarınızizleniyorsa/denetleniyorsa ve bazı yerel kısıtlamalar varsa, lütfen Ek U'yuokuyun: Denetlenen bilgisayarlarda (bazı) yerel kısıtlamalar nasıl aşılır.


Daha ileri gitmeden önce Tails Belgeleri, Uyarılar ve sınırlamaları da okumalısınız https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org]


Tüm bunları ve dokümantasyonlarının harika olduğu gerçeğini göz önünde bulundurarak, sizi sadece iyi yapılmış ve iyi korunan öğreticilerine yönlendireceğim:


https://tails.boum.org/install/index.en.html [Archive.org], istediğiniz çeşidi seçin ve devam edin.


İşiniz bittiğinde ve dizüstü bilgisayarınızda çalışan bir Tails olduğunda, bu kılavuzun çok daha ilerisindeki Anonim çevrimiçi kimliklerinizi oluşturma adımına gidin.


Sansür veya diğer sorunlar nedeniyle Tor'a erişimde sorun yaşıyorsanız, bu Tails eğitimini izleyerek Tor Bridges'i kullanmayı deneyebilirsiniz: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] ve bunlar hakkında daha fazla bilgiyi Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive. org] adresinde bulabilirsiniz.


Tor'u tek başına kullanmanın tehlikeli/şüpheli olduğunu düşünüyorsanız, Ek P'ye bakın : Tor/VPN seçeneği olmadığında internete mümkün olduğunca güvenli bir şekilde erişmek

 

[HEISENBERG]

Tails içinde Whonix kullanarak Kalıcı Makul İnkar Edilebilirlik.

Tails için https://github.com/aforensics/HiddenVM [Archive.org] projesini kontrol etmeyi düşünün.


Bu proje, makul inkar edilebilirlik256 kullanarak şifrelenmiş bir diskte depolayabileceğiniz tek tıklamayla kendi kendine yeten bir VM çözümü için akıllıca bir fikirdir ( Whonix rotası: ilk bölümler ve ayrıca Makul inkar edilebilirlik hakkında bazı açıklamalar ve daha fazla bilgi için bu kılavuzun sonundaki HDD/SSD ve Thumb sürücülerinizdeki belirli dosyaları/klasörleri/verileri güvenli bir şekilde silme: bölümüne bakın).


Bu, Tails ile bu kılavuzdaki Whonix rotasının Sanallaştırma seçeneklerini karıştıran hibrit bir sistemin oluşturulmasına izin verecektir.

Not: Akış İzolasyonu hakkında daha fazla açıklama için Whonix Rotasında bağlantı yönteminizi seçin bölümüne bakın


Kısacası:

• Kalıcı olmayan Tails'i tek bir USB anahtarından çalıştırabilirsiniz (önerilerini izleyerek)
• Kalıcı VM'leri, normal olarak şifrelenebilen veya Veracrypt makul inkar edilebilirlik özelliğini kullanan ikincil bir içeride saklayabilirsiniz (bunlar örneğin Whonix VM'leri veya başka herhangi biri olabilir).
• Eklenen Tor Akış İzolasyonu özelliğinden faydalanırsınız (akış izolasyonu hakkında daha fazla bilgi için VPN üzerinden Tor bölümüne bakın).

Bu durumda, projenin özetlediği gibi, bilgisayarınızda herhangi bir faaliyetinizin izi olmamalı ve hassas işler, yumuşak bir düşman tarafından kolayca keşfedilemeyecek Gizli bir kapta saklanan VM'lerden yapılabilir.


Bu seçenek özellikle "hafif seyahat etmek" ve işinizde kalıcılığı korurken adli tıp saldırılarını azaltmak için ilgi çekicidir. Yalnızca 2 USB anahtarına ihtiyacınız vardır (biri Tails, diğeri de kalıcı Whonix içeren Veracrypt konteyneri). İlk USB anahtarı sadece Tails içeriyor gibi görünecek ve ikinci USB sadece rastgele çöp içeriyor gibi görünecek, ancak makul inkar edilebilirlik için gösterebileceğiniz bir yem hacmine sahip olacaktır.


Bunun bir "Tor üzerinden Tor" kurulumuyla sonuçlanıp sonuçlanmayacağını da merak edebilirsiniz, ancak sonuçlanmayacaktır. Whonix VM'leri ağa Tails Onion Routing üzerinden değil, doğrudan clearnet üzerinden erişecek.


Gelecekte bu, burada açıklandığı gibi Whonix projesinin kendisi tarafından da desteklenebilir: https://www.whonix.org/wiki/Whonix-Host [Archive.org] ancak şu an için son kullanıcılar için henüz önerilmemektedir.


Makul inkar edilebilirlik olsun ya da olmasın şifrelemenin sihirli bir değnek olmadığını ve işkence durumunda çok az işe yarayacağını unutmayın. Aslında, düşmanınızın kim olacağına (tehdit modelinize) bağlı olarak, bu gösterimde gösterildiği gibi Veracrypt'i (eski adıyla TrueCrypt) hiç kullanmamak akıllıca olabilir: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Makul inkarcılık sadece fiziksel araçlara başvurmayacak yumuşak yasal düşmanlara karşı etkilidir.


Bkz. https://en. wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


DİKKAT: Bu tür gizli VM'leri harici bir SSD sürücüsünde depolamayı düşünüyorsanız lütfen Ek K: Har ici SSD sürücülerini kullanırken dikkat edilmesi gereken ler ve HDD ve SSD'yi anlama bölümlerine bakın:

• Veracrypt tarafından desteklenmediği/önerilmediği için SSD sürücülerde gizli birimler kullanmayın.
• Şifrelenmiş birimler yerine dosya kapsayıcılarını kullanın.
• Harici bir SSD sürücüdeki verileri nasıl temizleyeceğinizi bildiğinizden emin olun.

İşte bunu nasıl başaracağınıza dair rehberim:

İlk Koşu.

• En son HiddenVM sürümünü https://github.com/aforensics/HiddenVM/releases [Archive.org] adresinden indirin.
• En son Whonix XFCE sürümünü https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org] adresinden indirin.
• Veracrypt ile bir USB Anahtar/Sürücü Hazırlama
  
  • USB/Anahtar Sürücü üzerinde bir Gizli Birim oluşturun (Gizli birim için en az 16GB tavsiye ederim)
  • Dış Birim'e bazı tuzak dosyaları yerleştirin
  • Gizli Birim'e HiddenVM appimage dosyasını yerleştirin
  • Gizli Birim'e Whonix XFCE ova dosyasını yerleştirin
• Kuyruklara Bot
• Klavye düzenini istediğiniz gibi ayarlayın.
• Ek Ayarlar'ı seçin ve bir yönetici (root) parolası belirleyin (HiddenVM'yi yüklemek için gereklidir)
• Kuyrukları Başlat
• Güvenli bir wi-fi'ye bağlanın (geri kalanının çalışması için bu gerekli bir adımdır)
• Yardımcı Programlar'a gidin ve Veracrypt (gizli) Biriminizin Kilidini Açın (gizli birim onay kutusunu işaretlemeyi unutmayın)
• HiddenVM uygulama görüntüsünü başlatın
• Bir klasör seçmeniz istendiğinde, Gizli birimin Kökünü seçin (Whonix OVA ve HiddenVM uygulama görüntü dosyalarının olduğu yer).
• Bırakın işini yapsın (Bu temel olarak Virtualbox'ı tek bir tıklama ile Tails içine kuracaktır)
• Tamamlandığında, Virtualbox Manager'ı otomatik olarak başlatmalıdır.
• Whonix OVA dosyalarını içe aktarın (bkz. Whonix Sanal Makineleri:)

Not, içe aktarma sırasında "NS_ERROR_INVALID_ARG (0x80070057)" gibi sorunlar yaşıyorsanız, bunun nedeni muhtemelen Gizli biriminizde Whonix için yeterli disk alanı olmamasıdır. Whonix'in kendisi 32GB boş alan önermektedir ancak bu muhtemelen gerekli değildir ve başlangıç için 10GB yeterli olacaktır. Whonix *.OVA dosyasını *.TAR olarak yeniden adlandırarak ve Tails içinde sıkıştırmayı açarak bu hatanın üstesinden gelmeyi deneyebilirsiniz. Sıkıştırma işlemini tamamladığınızda, OVA dosyasını silin ve diğer dosyaları İçe Aktarma sihirbazı ile içe aktarın. Bu sefer işe yarayabilir.

Sonraki Koşular.

• Kuyruklara Bot
• Wi-Fi'ye bağlanın
• Gizli Hacminizin Kilidini Açın
• HiddenVM Uygulamasını Başlatın
• Bu işlem otomatik olarak VirtualBox yöneticisini açmalı ve ilk çalıştırmadan önceki sanal makinelerinizi göstermelidir

 

[HEISENBERG]

Diğer tüm rotalar için adımlar.

Hassas faaliyetleriniz için özel bir dizüstü bilgisayar edinin.

İdeal olarak, size kolay bir şekilde bağlanmayacak özel bir dizüstü bilgisayar almalısınız (ideal olarak anonim olarak nakit ile ödenir ve daha önce telefon ve SIM kart için belirtilen önlemlerin aynısı kullanılır). Tavsiye edilir ancak zorunlu değildir çünkü bu kılavuz, çeşitli yollarla veri sızıntılarını önlemek için dizüstü bilgisayarınızı mümkün olduğunca sağlamlaştırmanıza yardımcı olacaktır. Çevrimiçi kimlikleriniz ve kendiniz arasında, önemli kaynaklara sahip devlet / küresel aktörler dışında çoğu düşmanın sizi anonimleştirmesini engelleyecek birkaç savunma hattı olacaktır.


Bu dizüstü bilgisayar ideal olarak yeni kurulmuş temiz bir dizüstü bilgisayar (Windows, Linux veya MacOS çalıştıran), normal günlük aktivitelerinizden arındırılmış ve çevrimdışı (henüz ağa hiç bağlanmamış) olmalıdır. Bir Windows dizüstü bilgisayar söz konusu olduğunda ve bu tür bir temiz kurulumdan önce kullandıysanız, etkinleştirilmemelidir (ürün anahtarı olmadan yeniden yüklenmemelidir). Özellikle MacBook'lar söz konusu olduğunda, daha önce hiçbir şekilde kimliğinize bağlanmamış olmalıdır. Yani, kimliğinizi bilmeyen bir yabancıdan nakit para ile ikinci el satın alın


Bu, dizüstü bilgisayarı kullanırken herhangi bir benzersiz tanımlayıcıyı (MAC Adresi, Bluetooth Adresi ve Ürün anahtarı ...) tehlikeye atabilecek çevrimiçi sızıntılar (işletim sisteminizden veya Uygulamalarınızdan telemetri dahil) durumunda gelecekteki bazı sorunları azaltmak içindir. Ayrıca, dizüstü bilgisayarı elden çıkarmanız gerektiğinde geri izlenmekten kaçınmak için.


Bu dizüstü bilgisayarı daha önce farklı amaçlar için kullandıysanız (günlük faaliyetleriniz gibi), tüm donanım tanımlayıcıları muhtemelen Microsoft veya Apple tarafından bilinmekte ve kaydedilmektedir. Daha sonra bu tanımlayıcılardan herhangi biri tehlikeye girerse (kötü amaçlı yazılım, telemetri, istismarlar, insan hataları ...) size geri dönebilirler.


Dizüstü bilgisayar en az 250GB Disk Alanına, en az 6GB (ideal olarak 8GB veya 16GB) RAM'e sahip olmalı ve aynı anda birkaç Sanal Makineyi çalıştırabilmelidir. Birkaç saat dayanan çalışan bir bataryaya sahip olmalıdır.


Bu dizüstü bilgisayarda bir HDD (7200rpm) ya da bir SSD/NVMe sürücü olabilir. Her iki olasılığın da daha sonra ayrıntılı olarak açıklanacak avantajları ve sorunları vardır.


Bu dizüstü bilgisayarla gelecekte gerçekleştirilecek tüm çevrimiçi adımlar ideal olarak güvenli bir yerdeki Halka Açık Wi-Fi gibi güvenli bir ağdan yapılmalıdır (bkz. Uygun halka açık Wi-Fi olan bazı güvenli yerler bulun). Ancak önce birkaç adımın çevrimdışı atılması gerekecektir.

 

[HEISENBERG]

Bazı dizüstü bilgisayar önerileri.

Eğer paranız yetiyorsa, Coreboot (Intel IME'nin fabrikada devre dışı bırakıldığı) kullanırken Purism Librem dizüstü bilgisayar (https://puri.sm [Archive.org]) veya System76 dizüstü bilgisayar(https://system76.com/ [Archive. org]) almayı düşünebilirsiniz.


Diğer durumlarda, mümkünse İş sınıfı dizüstü bilgisayarlar (yani tüketici / oyun sınıfı dizüstü bilgisayarlar değil) almanızı şiddetle tavsiye ederim. Örneğin, Lenovo'nun bazı ThinkPad'leri (benim kişisel favorim). Şu anda Libreboot'u destekleyen dizüstü bilgisayarların ve Coreboot'u kendiniz flash'layabileceğiniz (Intel IME veya AMD PSP'yi devre dışı bırakmanıza izin verecek) diğerlerinin listesi burada:

• https://freundschafter.com/research...-intel-me-iamt-and-amd-psp-secure-technology/ [Archive.org]
• https://libreboot.org/docs/hardware/ [Archive.org]
• https://coreboot.org/status/board-status.html [Archive.org]

Bunun nedeni, bu iş dizüstü bilgisayarlarının genellikle çoğu tüketici dizüstü bilgisayarından (Asus, MSI, Gigabyte, Acer...) daha uzun destekle daha iyi ve daha özelleştirilebilir güvenlik özellikleri (özellikle BIOS / UEFI ayarlarında) sunmasıdır. Aranması gereken ilginç özellikler IMHO'dur:

• Daha iyi özel Güvenli Önyükleme ayarları (sadece Standart olanları kullanmak yerine tüm anahtarları seçerek yönetebileceğiniz)
• Sadece BIOS/UEFI şifrelerine ek olarak HDD/SSD şifreleri.
• AMD dizüstü bilgisayarlar daha ilginç olabilir çünkü bazıları AMD PSP'yi (Intel IME'nin AMD eşdeğeri) BIOS/UEFI ayarlarından varsayılan olarak devre dışı bırakma olanağı sağlar. Ve AFAIK, AMD PSP denetlenmiş ve IME'nin aksine herhangi bir "kötü" işlevselliğe sahip bulunmamıştır. Bununla birlikte, Qubes OS Route'u tercih edecekseniz Intel'i düşünün, çünkü AMD'yi anti-evil-maid sistemleriyle desteklemiyorlar.
• BIOS'tan Güvenli Silme araçları (özellikle SSD/NVMe sürücüler için kullanışlıdır, bkz Ek M: Çeşitli Markalardaki diskleri silmek için BIOS/UEFI seçenekleri).
• Belirli çevre birimlerinin (USB portları, Wi-Fis, Bluetooth, Kamera, Mikrofon...) devre dışı bırakılması/etkinleştirilmesi üzerinde daha iyi kontrol.
• Sanallaştırma ile daha iyi güvenlik özellikleri.
• Yerel kurcalamaya karşı korumalar.
• BIOS/UEFI güncellemeleri (ve sonraki BIOS/UEFI güvenlik güncellemeleri) ile daha uzun destek.
• Bazıları Libreboot tarafından desteklenmektedir

 

[HEISENBERG]

Dizüstü bilgisayarınızın Bios/UEFI/Firmware Ayarları.

PC.

Bu ayarlara dizüstü bilgisayarınızın önyükleme menüsünden erişilebilir. İşte HP'den çeşitli bilgisayarlarda BIOS'a erişmenin tüm yollarını açıklayan iyi bir öğretici: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


Genellikle buna nasıl erişileceği açılışta (işletim sisteminizden önce) belirli bir tuşa (F1, F2 veya Del) basmaktır.


Oraya girdikten sonra, önerilen birkaç ayarı uygulamanız gerekecektir:

• Yapabiliyorsanız Bluetooth'u tamamen devre dışı bırakın.
• Mümkünse Biyometriyi (parmak izi tarayıcıları) devre dışı bırakın. Ancak, BIOS/UEFI ayarlarına erişim için değil, yalnızca önyükleme için (önyükleme öncesi) ek bir biyometrik kontrol ekleyebilirsiniz.
• Yapabiliyorsanız Web Kamerasını ve Mikrofonu devre dışı bırakın.
• BIOS/UEFI şifresini etkinleştirin ve şifre yerine uzun bir parola kullanın (eğer yapabiliyorsanız) ve bu şifrenin gerekli olduğundan emin olun:
  
  • BIOS/UEFI ayarlarının kendisine erişim
  • Önyükleme sırasını değiştirme
  • Cihazın başlatılması/açılması
• Özellik mevcutsa HDD/SSD parolasını etkinleştirin. Bu özellik HDD/SSD'nin kendisine (BIOS/UEFI bellenimine değil) başka bir parola ekleyerek bu HDD/SSD'nin parola olmadan farklı bir bilgisayarda kullanılmasını engelleyecektir. Bu özelliğin bazı üreticilere özgü olduğunu ve bu diskin kilidini tamamen farklı bir bilgisayardan açmak için özel bir yazılım gerektirebileceğini unutmayın.
• Mümkünse BIOS/UEFI parolasını sağlamadan önyükleme seçeneklerine (önyükleme sırası) erişimi engelleyin.
• Yapabiliyorsanız USB/HDMI veya diğer bağlantı noktalarını (Ethernet, Firewire, SD kart ...) devre dışı bırakın.
• Yapabiliyorsanız Intel ME'yi devre dışı bırakın.
• Yapabiliyorsanız AMD PSP'yi devre dışı bırakın (AMD'nin IME'ye eşdeğeri, CPU'nuza bakın)
• Eğer QubesOS kullanmayı düşünüyorsanız Secure Boot'u devre dışı bırakın çünkü kutudan çıktığı haliyle desteklememektedir. Linux/Windows kullanmayı düşünüyorsanız açık tutun.
• Dizüstü bilgisayar BIOS'unuzun HDD/SSD'niz için ihtiyaç halinde kullanışlı olabilecek bir güvenli silme seçeneği olup olmadığını kontrol edin.

Bunları yalnızca "kullanmanız gerektiğinde" etkinleştirin ve kullandıktan sonra tekrar devre dışı bırakın. Bu, dizüstü bilgisayarınızın kilitli ancak hala açıkken ele geçirilmesi veya oldukça hızlı bir şekilde kapatmak zorunda kalmanız ve birinin onu ele geçirmesi durumunda bazı saldırıları azaltmaya yardımcı olabilir (bu konu bu kılavuzun ilerleyen bölümlerinde açıklanacaktır).

Güvenli önyükleme hakkında.

Peki, Güvenli Önyükleme nedir? Kısaca, bilgisayarınızın önyükleyicinin dizüstü bilgisayarınızın UEFI ürün yazılımında saklanan belirli anahtarlarla imzalanmadığı bir işletim sistemini önyüklemesini önlemek için tasarlanmış bir UEFI güvenlik özelliğidir.


Temel olarak, İşletim Sistemleri (veya Önyükleyici) bunu desteklediğinde, önyükleyicinizin anahtarlarını UEFI ürün yazılımınızda saklayabilirsiniz ve bu, yetkisiz herhangi bir İşletim Sisteminin (canlı bir OS USB veya benzeri bir şey gibi) önyüklenmesini önleyecektir.


Güvenli Önyükleme ayarları, BIOS/UEFI ayarlarına erişmek için belirlediğiniz parola ile korunur. Bu parolaya sahipseniz, Güvenli Önyüklemeyi devre dışı bırakabilir ve imzasız işletim sistemlerinin sisteminizde önyükleme yapmasına izin verebilirsiniz. Bu, bazı Evil-Maid saldırılarını azaltmaya yardımcı olabilir (bu kılavuzun ilerleyen bölümlerinde açıklanmıştır).


Çoğu durumda Güvenli Önyükleme varsayılan olarak devre dışıdır ya da etkindir ancak herhangi bir sistemin önyükleme yapmasına izin verecek "kurulum" modundadır. Güvenli Önyüklemenin çalışması için İşletim Sisteminizin bunu desteklemesi ve ardından önyükleyicisini imzalaması ve bu imzalama anahtarlarını UEFI ürün yazılımınıza göndermesi gerekir. Bundan sonra BIOS/UEFI ayarlarınıza gitmeniz ve işletim sisteminizden gönderilen bu anahtarları kaydetmeniz ve Güvenli Önyüklemeyi kurulumdan kullanıcı moduna (veya bazı durumlarda özel moda) değiştirmeniz gerekecektir.


Bu adımı gerçekleştirdikten sonra, yalnızca UEFI ürün yazılımınızın önyükleyicinin bütünlüğünü doğrulayabildiği İşletim Sistemleri önyükleme yapabilecektir.


Çoğu dizüstü bilgisayarın güvenli önyükleme ayarlarında önceden kaydedilmiş bazı varsayılan anahtarlar olacaktır. Bunlar genellikle üreticinin kendisinden ya da Microsoft gibi bazı şirketlerden alınan anahtarlardır. Yani bu, varsayılan olarak bazı USB diskleri güvenli önyükleme ile bile önyüklemenin her zaman mümkün olacağı anlamına gelir. Bunlar arasında Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla ve diğerleri bulunmaktadır. Ancak Secure Boot bu noktada QubesOS tarafından hiç desteklenmemektedir.


Bazı dizüstü bilgisayarlarda, bu anahtarları yönetebilir ve istemediklerinizi bir "özel mod" ile kaldırarak yalnızca kendi önyükleyicinizi yetkilendirebilir ve gerçekten isterseniz kendiniz imzalayabilirsiniz.


Peki, Secure Boot sizi nelerden koruyor? Dizüstü bilgisayarınızı imzasız önyükleyicilerin (işletim sistemi sağlayıcısı tarafından) örneğin enjekte edilmiş kötü amaçlı yazılımlarla önyüklenmesine karşı koruyacaktır.


Secure Boot sizi nelerden korumaz?

• Güvenli Önyükleme diskinizi şifrelemez ve bir düşman hala diski dizüstü bilgisayarınızdan çıkarabilir ve farklı bir makine kullanarak ondan veri alabilir. Bu nedenle Secure Boot tam disk şifrelemesi olmadan işe yaramaz.
• Güvenli Önyükleme sizi, üreticinin kendisi (örneğin Windows söz konusu olduğunda Microsoft) tarafından tehlikeye atılacak ve imzalanacak imzalı bir önyükleyiciden korumaz. Bugünlerde çoğu ana akım Linux dağıtımı imzalıdır ve Secure Boot etkinken önyükleme yapacaktır.
• Güvenli Önyükleme, diğer tüm sistemler gibi kusurlara ve istismarlara sahip olabilir. Yeni BIOS/UEFI güncellemelerinden faydalanmayan eski bir dizüstü bilgisayar kullanıyorsanız, bunlar düzeltilmeden bırakılabilir.

Ek olarak, bu teknik videolarda (derinlemesine) açıklandığı gibi Güvenli Önyükleme'ye karşı mümkün olabilecek çok sayıda saldırı vardır:

• Defcon 22,
  [Invidious]
• BlackHat 2016,
  [Invidious]

Bu nedenle, bazı düşmanlara karşı ek bir önlem olarak yararlı olabilir, ancak hepsine değil. Secure Boot kendi başına sabit diskinizi şifrelemez. Ek bir katmandır ama hepsi bu.


Yine de yapabiliyorsanız açık tutmanızı tavsiye ederim.

Mac.

Buradaki öğreticiye göre bir aygıt yazılımı parolası belirlemek için bir dakikanızı ayırın: https://support.apple.com/en-au/HT204455 [Archive.org]


Ayrıca buradaki belgelere göre ürün yazılımı parola sıfırlama korumasını (Catalina'dan temin edilebilir) etkinleştirmelisiniz: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Bu özellik, bazı saldırganların aygıt yazılımı parolanızı devre dışı bırakmak/atlamak için donanım korsanlığı kullanma olasılığını azaltacaktır. Bunun aynı zamanda Apple'ın onarım durumunda ürün yazılımına erişmesini de engelleyeceğini unutmayın.

 

[HEISENBERG]

Dizüstü bilgisayarınızı fiziksel olarak koruyun.

Bir noktada kaçınılmaz olarak bu dizüstü bilgisayarı bir yerde yalnız bırakacaksınız. Onunla uyumayacak ve her gün her yere götürmeyeceksiniz. Siz fark etmeden herhangi birinin onu kurcalamasını mümkün olduğunca zorlaştırmalısınız. Bu çoğunlukla size karşı 5$'lık bir İngiliz anahtarını kullanmayacak bazı sınırlı düşmanlara karşı yararlıdır.


Bazı uzmanların dizüstü bilgisayarınıza bir tuş kaydedici yüklemesinin ya da sabit sürücünüzün bir kopyasını çıkararak daha sonra adli tıp tekniklerini kullanarak şifrelenmiş verilerin varlığını tespit etmelerinin son derece kolay olduğunu bilmek önemlidir (bu konuya daha sonra değineceğiz).


Oje (parıltılı) kullanarak dizüstü bilgisayarınızı kurcalamaya karşı dayanıklı hale getirmek için ucuz bir yöntem https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (resimlerle).


Bu iyi ve ucuz bir yöntem olsa da, oldukça "dikkat çekici" olduğu için şüphe uyandırabilir ve "saklayacak bir şeyiniz olduğunu" ortaya çıkarabilir. Dolayısıyla, aynı sonucu elde etmenin daha ince yolları vardır. Örneğin dizüstü bilgisayarınızın arka vidalarının yakın bir makro fotoğrafını çekebilir ya da vidalardan birinin içine normal kir gibi görünebilecek çok az miktarda mum kullanabilirsiniz. Daha sonra vidaların fotoğraflarını yenileriyle karşılaştırarak kurcalama olup olmadığını kontrol edebilirsiniz. Eğer düşmanınız yeterince dikkatli davranmadıysa vidaların yönü biraz değişmiş olabilir (vidaları tam olarak eskisi gibi sıkmak). Ya da bir vida başının altındaki balmumu eskisine kıyasla zarar görmüş olabilir.

Aynı teknikler USB girişleri için de kullanılabilir; USB anahtarı takıldığında zarar görecek olan fişin içine çok az miktarda mum koyabilirsiniz.


Daha riskli ortamlarda, düzenli olarak kullanmadan önce dizüstü bilgisayarınızı kurcalanmaya karşı kontrol edin.

 

[HEISENBERG]

Whonix rotası.

Ana İşletim Sisteminizi (dizüstü bilgisayarınızda yüklü olan işletim sistemi) seçin.

Bu rota Sanal Makineleri kapsamlı bir şekilde kullanacak, Sanallaştırma yazılımını çalıştırmak için bir ana işletim sistemi gerektirecektir. Kılavuzun bu bölümünde önerilen 3 seçeneğiniz vardır:

• Tercih ettiğiniz Linux dağıtımı (Qubes OS hariç)
• Windows 10 (Bitlocker olmaması nedeniyle tercihen Home sürümü)
• MacOS (Catalina veya üstü)

Buna ek olarak, Mac'inizin bir Apple hesabına bağlı olması (satın alma sırasında veya oturum açtıktan sonra) ve bu nedenle benzersiz donanım tanımlayıcılarının donanım tanımlayıcılarının sızması durumunda size geri dönmesi olasılığı yüksektir.


Linux da tehdit modelinize bağlı olarak anonimlik için en iyi seçenek olmayabilir. Bunun nedeni, Windows kullanmanın işletim sistemi düzeyinde Makul İnkar Edilebilirliği (diğer adıyla İnkar Edilebilir Şifreleme) kolayca kullanmamızı sağlayacak olmasıdır. Windows ne yazık ki aynı zamanda bir gizlilik kabusudur, ancak işletim sistemi çapında makul inkar edilebilirliği kullanmak için tek (uygun) seçenektir. Windows telemetri ve telemetri engelleme de yaygın olarak belgelenmiştir ve bu da birçok sorunu hafifletecektir.


Peki, Makul İnkar Edilebilirlik nedir? Cihazınıza/verilerinize erişim talep eden bir düşmanla gerçek sırrınızı ifşa etmeden işbirliği yapabilmenizdir. Tüm bunlar İnkar Edilebilir Şifreleme kullanılarak yapılır.


Yumuşak ve yasal bir düşman şifrelenmiş dizüstü bilgisayarınızın şifresini isteyebilir. İlk başta herhangi bir şifre vermeyi reddedebilirsiniz ("sessiz kalma hakkınızı", "kendinizi suçlamama hakkınızı" kullanarak) ancak bazı ülkeler bunu bu tür haklardan muaf tutmak için yasalar uygulamaktadır (çünkü teröristler ve "çocukları düşünün"). Bu durumda şifreyi açıklamak zorunda kalabilir ya da mahkemeye itaatsizlikten hapis cezasıyla karşı karşıya kalabilirsiniz. İşte bu noktada makul inkar edilebilirlik devreye girecektir.


Daha sonra bir şifre açıklayabilirsiniz ancak bu şifre yalnızca "makul verilere" (sahte bir işletim sistemi) erişim sağlayacaktır. Adli tıp, gizli verilere sahip olmanızın mümkün olduğunun farkında olacak ancak bunu kanıtlayamayacaktır (eğer bunu doğru yaparsanız). İşbirliği yapmış olacaksınız ve araştırmacılar bir şeye erişebilecekler ama aslında saklamak istediğiniz şeye değil. İspat yükümlülüğü onların tarafında olması gerektiğinden, gizli verilere sahip olduğunuza dair bir kanıtları olmadığı sürece size inanmaktan başka seçenekleri olmayacaktır.


Bu özellik işletim sistemi seviyesinde (makul bir işletim sistemi ve gizli bir işletim sistemi) veya kullandığınız şifreleme parolasına bağlı olarak farklı dosyaların gösterileceği şifrelenmiş bir dosya konteynerine (zip dosyasına benzer) sahip olacağınız dosyalar seviyesinde kullanılabilir.


Bu aynı zamanda, örneğin Sanal Makineleri bir Veracrypt gizli birim konteynerinde depolayarak herhangi bir Ana İşletim Sistemi kullanarak kendi gelişmiş "makul inkar edilebilirlik" kurulumunuzu yapabileceğiniz anlamına gelir (Ana İşletim Sistemi kalıcı ise temizlenmesi gereken Ana İşletim Sistemi tho'sundaki izlere dikkat edin, daha sonra adli tıpa karşı bazı ek önlemler bölümüne bakın). Bunu Tails içinde başarmak için bir proje var(https://github.com/aforensics/HiddenVM [Archive.org]), bu da Ana İşletim Sisteminizi kalıcı hale getirmeyecek ve Tails içinde makul inkar edilebilirliği kullanacaktır.


Windows söz konusu olduğunda, makul inkar edilebilirlik aynı zamanda ideal olarak Windows 10 Home'a (Pro'ya değil) sahip olmanızın nedenidir. Bunun nedeni Windows 10 Pro'nun yerel olarak bir tam disk şifreleme sistemi (Bitlocker) sunması, Windows 10 Home'un ise hiçbir tam disk şifrelemesi sunmamasıdır. Daha sonra şifreleme için Windows 10 Home'da tam disk şifrelemeye izin verecek üçüncü taraf açık kaynaklı bir yazılım kullanacağız. Bu size bu yazılımı kullanmak için iyi (makul) bir bahane verecektir. Bu yazılımı Windows 10 Pro'da kullanmak ise şüpheli olacaktır.


Linux hakkında not: Peki, Linux ve makul inkar edilebilirlik ne olacak? Evet, Linux ile de makul inkar edilebilirlik elde etmek mümkün. Ancak kurulumu karmaşıktır ve IMHO muhtemelen denemenize yardımcı olması için bu kılavuza ihtiyaç duymayacağınız kadar yüksek bir beceri seviyesi gerektirir.


Ne yazık ki şifreleme sihirli bir şey değildir ve bazı riskleri vardır:

Şifreleme ile ilgili tehditler.

5$'lık İngiliz Anahtarı.

Makul inkar edilebilirlik olsun ya da olmasın şifrelemenin sihirli bir değnek olmadığını ve işkence durumunda çok az işe yarayacağını unutmayın. Aslına bakarsanız, düşmanınızın kim olacağına (tehdit modelinize) bağlı olarak, bu gösterimde gösterildiği gibi Veracrypt'i (eski adıyla TrueCrypt) hiç kullanmamak akıllıca olabilir: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Makul inkar edilebilirlik sadece fiziksel yollara başvurmayacak yumuşak yasal düşmanlara karşı etkilidir. Eğer tehdit modeliniz sert düşmanlar içeriyorsa, mümkünse makul inkar kabiliyetine sahip yazılımları (Veracrypt gibi) kullanmaktan kaçının. Dolayısıyla, Windows kullanıcıları bu durumda Windows Pro'yu Ana İşletim Sistemi olarak yüklemeli ve bunun yerine Bitlocker kullanmalıdır.


Bkz. https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

Evil-Maid Saldırısı.

Kötü Hizmetçi Saldırıları, siz uzaktayken birisi dizüstü bilgisayarınızı kurcaladığında gerçekleştirilir. Sabit diskinizi klonlamak, kötü amaçlı yazılım yüklemek veya bir tuş kaydedici yüklemek için. Sabit sürücünüzü klonlayabilirlerse, siz yokken aldıkları andaki sabit sürücünüzün bir görüntüsünü, sizden ele geçirdikleri andaki sabit sürücünüzle karşılaştırabilirler. Arada dizüstü bilgisayarı tekrar kullandıysanız, adli tıp incelemecileri boş/kullanılmayan bir alan olması gereken iki görüntü arasındaki değişikliklere bakarak gizli verilerin varlığını kanıtlayabilirler. Bu, gizli bir verinin varlığına dair güçlü kanıtlar elde edilmesini sağlayabilir. Dizüstü bilgisayarınıza bir tuş kaydedici veya kötü amaçlı yazılım yüklerlerse (yazılım veya donanım), daha sonra ele geçirdiklerinde kullanmak üzere sizden şifreyi kolayca alabileceklerdir. Bu tür saldırılar evinizde, otelinizde, bir sınır kapısında veya cihazlarınızı gözetimsiz bıraktığınız herhangi bir yerde yapılabilir.


Aşağıdakileri yaparak (daha önce önerildiği gibi) bu saldırıyı azaltabilirsiniz:

• Bilginiz olmadan dizüstü bilgisayarın iç kısımlarına fiziksel erişimi önlemek için temel bir kurcalama korumasına (daha önce açıklandığı gibi) sahip olun. Bu, disklerinizi klonlamalarını ve bilginiz olmadan fiziksel bir tuş kaydedici yüklemelerini önleyecektir.
• Parola korumalı bir BIOS/UEFI içinde tüm USB bağlantı noktalarını (daha önce açıklandığı gibi) devre dışı bırakın. Yine, sabit sürücünüzü klonlayabilecek veya tuş kaydedici olarak işlev görebilecek yazılım tabanlı bir kötü amaçlı yazılım yükleyebilecek bir USB aygıtını başlatmak için bunları açamayacaklardır (BIOS'u sıfırlamak için anakarta fiziksel olarak erişmeden).
• Yetkisiz bir aygıtın yetkisiz önyüklemesini önlemek için BIOS/UEFI/Firmware şifrelerini ayarlayın.
• Bazı işletim sistemleri ve Şifreleme yazılımları etkinleştirilebilen anti-EvilMaid korumasına sahiptir. Windows/Veracrypt ve QubeOS için durum böyledir.

Soğuk Önyükleme Saldırısı.

Soğuk Önyükleme saldırıları Kötü Hizmetçi Saldırısından daha zordur, ancak siz cihazınızı aktif olarak kullanırken veya kısa bir süre sonra bir düşmanın dizüstü bilgisayarınızı ele geçirmesini gerektirdiğinden Kötü Hizmetçi saldırısının bir parçası olabilir.


Fikir oldukça basittir, bu videoda gösterildiği gibi, bir düşman teorik olarak cihazınızı kapattıktan sonra cihazın RAM (bellek) içeriğini kopyalayacak özel bir USB anahtarıyla cihazınızı hızlı bir şekilde önyükleyebilir. USB bağlantı noktaları devre dışı bırakılırsa ya da daha fazla zamana ihtiyaçları olduğunu hissederlerse, cihazı açıp bir sprey ya da başka kimyasallar (örneğin sıvı nitrojen) kullanarak belleği "soğutabilir" ve belleğin bozulmasını önleyebilirler. Daha sonra analiz için içeriğini kopyalayabilirler. Bu bellek dökümü cihazınızın şifresini çözecek anahtarı içerebilir. Bunları hafifletmek için daha sonra birkaç ilke uygulayacağız.


Makul İnkar Edilebilirlik durumunda, basit bir adli inceleme ile (Soğuk Önyükleme/Kötü Hizmetçi Saldırısı olmadan) gizli verilerin varlığını teknik olarak kanıtlayan bazı adli tıp çalışmaları olmuştur, ancak bunlar diğer çalışmalar ve Veracrypt'in bakımcısı tarafından itiraz edilmiştir, bu yüzden henüz bunlar hakkında çok fazla endişelenmem.


Evil Maid saldırılarını azaltmak için kullanılan aynı önlemler, bazı eklemelerle birlikte Cold Boot saldırıları için de geçerli olmalıdır:

• İşletim sisteminiz veya Şifreleme yazılımınız buna izin veriyorsa, anahtarları RAM içinde de şifrelemeyi düşünmelisiniz (bu Windows/Veracrypt ile mümkündür ve daha sonra açıklanacaktır)
• Bilgisayarınız uyku moduna geçtiğinde şifreleme anahtarlarının RAM'de kalmasını önlemek için Uyku modunda bekleme özelliğinin kullanımını sınırlandırmalı ve bunun yerine Kapatma veya Hazırda Bekletme özelliğini kullanmalısınız. Bunun nedeni uyku modunun faaliyetlerinize daha hızlı devam edebilmeniz için belleğinize güç sağlamaya devam etmesidir. Yalnızca hazırda bekletme ve kapatma, anahtarı bellekten gerçekten temizleyecektir.

Ayrıca bkz. https://www. whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] ve https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive. org]


Linux kullanıcılarının bunlara karşı korunmak için göz önünde bulundurması gereken bazı ilginç araçları da burada bulabilirsiniz:

• https://github.com/0xPoly/Centry [Archive.org] (maalesef bakımı yapılmamış gibi görünüyor, bu yüzden hala çalışması gereken Veracrypt https://github.com/AnonymousPlanet/Centry [Archive.org] için bir çatal ve çekme isteği güncellemesi yaptım)
• https://github.com/hephaest0s/usbkill [Archive.org] (ne yazık ki bakımı da yapılmamış gibi görünüyor)
• https://github.com/Lvl4Sword/Killer [Archive.org]
• https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks [Archive.org]
• (Qubes OS, yalnızca Intel CPU) https://github.com/QubesOS/qubes-antievilmaid [Archive.org]

Uyku, Hazırda Bekletme ve Kapatma Hakkında.

Daha iyi bir güvenlik istiyorsanız, dizüstü bilgisayarınızı her gözetimsiz bıraktığınızda veya kapağını kapattığınızda tamamen kapatmalısınız. Bu, RAM'i temizlemeli ve/veya serbest bırakmalı ve soğuk önyükleme saldırılarına karşı hafifletme sağlamalıdır. Bununla birlikte, tamamen yeniden başlatmanız ve çeşitli uygulamalara bir ton şifre girmeniz gerekeceğinden bu biraz zahmetli olabilir. Çeşitli sanal makineleri ve diğer uygulamaları yeniden başlatın. Bunun yerine hazırda bekletme modunu da kullanabilirsiniz (Qubes OS'de desteklenmez). Tüm disk şifrelenmiş olduğundan, hazırda bekletme kendi başına büyük bir güvenlik riski oluşturmaz, ancak yine de dizüstü bilgisayarınızı kapatır ve belleği temizler ve daha sonra işinize rahatça devam etmenizi sağlar. Asla yapmamanız gereken şey, bilgisayarınızı açık ve belleği güçlü tutacak olan standart uyku özelliğini kullanmaktır. Bu, daha önce tartışılan evil-maid ve cold-boot saldırılarına karşı bir saldırı vektörüdür. Çünkü açık olan belleğiniz diskinizin şifreleme anahtarlarını (şifrelenmiş ya da şifrelenmemiş) tutar ve yetenekli bir düşman tarafından bu anahtarlara erişilebilir.


Bu kılavuz, her seferinde kapatmak istemiyorsanız, çeşitli ana bilgisayar işletim sistemlerinde (Qubes OS hariç) hazırda bekletme modunun nasıl etkinleştirileceği konusunda daha sonra rehberlik sağlayacaktır.

Yerel Veri Sızıntıları (izler) ve adli tıp incelemesi.

Daha önce kısaca bahsedildiği gibi, bunlar bilgisayarınızda herhangi bir etkinlik gerçekleştirdiğinizde işletim sisteminizden ve uygulamalarınızdan gelen veri sızıntıları ve izleridir. Bunlar çoğunlukla işletim sistemi genelinde şifrelemeden ziyade şifrelenmiş dosya konteynerleri (makul inkar edilebilirlik olsun ya da olmasın) için geçerlidir. Eğer tüm işletim sisteminiz şifrelenmişse (eğer şifreyi açıklamak zorunda değilseniz) bu tür sızıntılar daha az "önemlidir".


Diyelim ki Veracrypt ile şifrelenmiş ve makul inkar edilebilirlik özelliği etkinleştirilmiş bir USB anahtarınız var. USB anahtarını takarken kullandığınız parolaya bağlı olarak, bir tuzak klasörü veya hassas klasör açılacaktır. Bu klasörlerin içinde, tuzak klasörün içinde tuzak belgeler/veriler ve hassas klasörün içinde hassas belgeler/veriler olacaktır.


Her durumda, (büyük olasılıkla) bu klasörleri Windows Explorer, MacOS Finder veya başka bir yardımcı programla açacak ve yapmayı planladığınız şeyi yapacaksınız. Belki hassas klasör içindeki bir belgeyi düzenleyeceksiniz. Belki klasör içindeki bir belgede arama yapacaksınız. Belki de VLC kullanarak hassas bir videoyu silecek veya izleyeceksiniz.


Tüm bu Uygulamalar ve İşletim Sisteminiz bu kullanımın günlüklerini ve izlerini tutabilir. Bu, klasörün/dosyaların/sürücülerin tam yolunu, bunlara erişildiği zamanı, bu dosyaların geçici önbelleklerini, her uygulamadaki "son" listelerini, sürücüyü dizine ekleyebilecek dosya dizinleme sistemini ve hatta oluşturulabilecek küçük resimleri içerebilir


İşte bu tür sızıntılara bazı örnekler:

Pencereler.

• Windows Kayıt Defteri içinde depolanan Windows ShellBag'leri erişilen birimlerin/dosyaların/klasörlerin çeşitli geçmişlerini sessizce saklar.
• Windows Dizinleme, varsayılan olarak kullanıcı klasörünüzde bulunan dosyaların izlerini tutar.
• Windows ve çeşitli uygulamalardaki son listeler (diğer adıyla Atlama Listeleri) son erişilen belgelerin izlerini tutar.
• Çeşitli günlüklerde daha birçok iz, daha fazla bilgi için lütfen bu kullanışlı ilginç postere bakın: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.

• Gatekeeper290 ve XProtect indirme geçmişinizi yerel bir veritabanında ve dosya özniteliklerinde takip eder.
• Spotlight İndeksleme
• Son erişilen belgelerin izlerini tutan çeşitli uygulamalardaki son listeler.
• Uygulama kullanımı ve Belge kullanımının çeşitli izlerini tutan geçici klasörler.
• MacOS Günlükleri
• ...

Linux.

• İzleyici İndeksleme
• Bash Geçmişi
• USB günlükleri
• Son erişilen belgelerin izlerini tutan çeşitli uygulamalardaki son listeler.
• Linux Günlükleri
• ...

Adli tıp tüm bu sızıntıları (bkz. Yerel Veri Sızıntıları ve Adli Tıp) gizli verilerin varlığını kanıtlamak ve makul inkar edilebilirlik kullanma girişimlerinizi boşa çıkarmak ve çeşitli hassas faaliyetleriniz hakkında bilgi edinmek için kullanabilir.


Bu nedenle, bu sızıntıları/izleri önleyerek ve temizleyerek ve daha da önemlisi tüm disk şifreleme, sanallaştırma ve bölümlere ayırma kullanarak adli tıpın bunu yapmasını önlemek için çeşitli adımlar uygulamak önemli olacaktır.


Adli tıp, erişemediği bir işletim sisteminden yerel veri sızıntılarını çıkaramaz. Ve bu izlerin çoğunu sürücüyü silerek ya da sanal makinelerinizi güvenli bir şekilde silerek (SSD sürücülerde düşündüğünüz kadar kolay değildir) temizleyebileceksiniz.


Yine de bazı temizleme teknikleri bu kılavuzun en sonunda yer alan "İzlerinizi Örtün" bölümünde ele alınacaktır.

Çevrimiçi Veri Sızıntıları.

İster basit şifreleme ister makul inkar edilebilirlik şifrelemesi kullanıyor olun. Bilgisayarın kendisinde izlerinizi kapatmış olsanız bile. Yine de gizli verilerin varlığını ortaya çıkarabilecek çevrimiçi veri sızıntıları riski vardır.


Telemetri sizin düşmanınızdır. Bu kılavuzda daha önce açıklandığı gibi, İşletim Sistemlerinin yanı sıra Uygulamalardan gelen telemetri de şaşırtıcı miktarda özel bilgiyi çevrimiçi olarak gönderebilir.


Windows söz konusu olduğunda, bu veriler örneğin bir bilgisayarda gizli bir İşletim Sisteminin / Birimin varlığını kanıtlamak için kullanılabilir ve Microsoft'ta kolayca bulunabilir. Bu nedenle, telemetriyi elinizdeki tüm araçlarla devre dışı bırakmanız ve engellemeniz kritik önem taşımaktadır. Hangi işletim sistemini kullanıyor olursanız olun.

Sonuç.

Şifrelenmemiş bir sistemden asla hassas faaliyetler yürütmemelisiniz. Ve şifrelenmiş olsa bile, muhtemelen hiçbir zaman Ana İşletim Sisteminin kendisinden hassas faaliyetler yürütmemelisiniz. Bunun yerine, faaliyetlerinizi etkin bir şekilde izole edip bölümlere ayırabilmek ve yerel veri sızıntılarını önlemek için bir sanal makine kullanmalısınız.


Linux hakkında çok az bilginiz varsa ya da hiç bilginiz yoksa veya işletim sistemi genelinde makul inkar edilebilirlik kullanmak istiyorsanız, kolaylık sağlamak için Windows'u (veya Tails rotasına geri dönmenizi) tavsiye ederim. Bu kılavuz, sızıntıları önlemek için mümkün olduğunca sertleştirmenize yardımcı olacaktır. Bu kılavuz aynı zamanda MacOS ve Linux'u da benzer sızıntıları önlemek için mümkün olduğunca güçlendirmenize yardımcı olacaktır.


İşletim sistemi genelinde makul inkar edilebilirlikle ilgilenmiyorsanız ve Linux kullanmayı öğrenmek istiyorsanız, donanımınız izin veriyorsa Linux veya Qubes yolunu seçmenizi şiddetle tavsiye ederim.


Her durumda, ana işletim sistemi asla hassas faaliyetleri doğrudan yürütmek için kullanılmamalıdır. Ana işletim sistemi yalnızca halka açık bir Wi-Fi Erişim Noktasına bağlanmak için kullanılacaktır. Siz hassas faaliyetler yürütürken kullanılmayacaktır ve ideal olarak günlük faaliyetlerinizin hiçbiri için kullanılmamalıdır.


Ayrıca https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org] adresini de okumayı düşünün.

 

[HEISENBERG]

Linux Ana İşletim Sistemi.

Daha önce de belirtildiği gibi, günlük dizüstü bilgisayarınızı çok hassas faaliyetler için kullanmanızı önermiyorum. Ya da en azından bunlar için yerinde işletim sisteminizi kullanmanızı önermiyorum. Bunu yapmak, sizi anonimleştirmek için kullanılabilecek istenmeyen veri sızıntılarına neden olabilir. Bunun için özel bir dizüstü bilgisayarınız varsa, yeni ve temiz bir işletim sistemini yeniden yüklemelisiniz. Dizüstü bilgisayarınızı silmek ve baştan başlamak istemiyorsanız, Tails rotasını düşünmeli veya kendi risklerinizle devam etmelisiniz.


Ayrıca herhangi bir veri sızıntısını önlemek için ilk kurulumu tamamen çevrimdışı yapmanızı tavsiye ederim.


Linux ana dağıtımlarının (örneğin Ubuntu) itibarına rağmen güvenlik konusunda MacOS ve Windows gibi diğer sistemlerden daha iyi olmadığını her zaman hatırlamalısınız. Nedenini anlamak için bu referansa bakın https://madaidans-insecurities.github.io/linux.html [Archive.org].

Tam disk şifreleme.

Ubuntu ile burada iki olasılık vardır:

• (Önerilen ve kolay) Yükleme işleminin bir parçası olarak şifreleyin: https://ubuntu.com/tutorials/install-ubuntu-desktop [Archive.org]
  
  • Bu işlem tüm sürücünüzün tamamen silinmesini gerektirir (temiz kurulum).
  • Sadece "Yeni Ubuntu kurulumunu güvenlik için şifrele" seçeneğini işaretleyin.
• (Sıkıcı ama mümkün) Kurulumdan sonra şifreleyin: https://help.ubuntu.com/community/ManualFullSystemEncryption [Archive.org]

Diğer dağıtımlar için, kendiniz belgelemeniz gerekecektir, ancak muhtemelen benzer olacaktır. Kurulum sırasında şifreleme, bu kılavuz bağlamında çok daha kolaydır.

Herhangi bir telemetriyi reddetme/devre dışı bırakma.

• Yükleme sırasında, sorulduğunda herhangi bir veri toplamaya izin vermediğinizden emin olun.
• Emin değilseniz, herhangi bir telemetriyi etkinleştirmediğinizden emin olun ve gerekirse bu öğreticiyi izleyin https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/ [Archive.org]
• Başka herhangi bir dağıtım: Kendiniz belgelemeniz ve varsa telemetriyi nasıl devre dışı bırakacağınızı kendiniz bulmanız gerekecektir.

Gereksiz her şeyi devre dışı bırakın.

• Bu kılavuzu https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] takip ederek veya aşağıdaki komutu vererek etkinleştirilmişse Bluetooth'u devre dışı bırakın:
  
  • sudo systemctl disable bluetooth.service --force
• Varsayılan olarak etkinse (Ubuntu >19.04) https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] adresindeki bu kılavuzu izleyerek veya aşağıdaki komutları vererek Dizin Oluşturmayı devre dışı bırakın:
  
  • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
    
    • Bir hizmetin mevcut olmadığını söylüyorsa, herhangi bir hatayı güvenle yok sayabilirsiniz
  • sudo tracker reset -hard

Hazırda Bekletme.

Daha önce açıklandığı gibi, uyku özelliklerini kullanmamalı, bazı evil-maid ve cold-boot saldırılarını azaltmak için dizüstü bilgisayarınızı kapatmalı veya hazırda bekletmelisiniz. Ne yazık ki, bu özellik Ubuntu dahil birçok Linux dağıtımında varsayılan olarak devre dışıdır. Etkinleştirmek mümkündür ancak beklendiği gibi çalışmayabilir. Bu bilgileri kendi sorumluluğunuzda uygulayın. Bunu yapmak istemiyorsanız, uyku işlevini asla kullanmamalı ve bunun yerine gücü kapatmalısınız (ve muhtemelen kapak kapatma davranışını uyku yerine güç kapatma olarak ayarlamalısınız).


Hazırda Beklet'i etkinleştirmek için bu eğitimlerden birini izleyin:

• https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/ [Archive.org]
• http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/ [Archive.org]
• https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/ [Archive.org]

Hibernate etkinleştirildikten sonra, Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] için bu öğreticiyi ve Ubuntu 18.04 https://tipsonubuntu.com/2018/ 04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive. org] için bu öğreticiyi izleyerek kapağı kapattığınızda dizüstü bilgisayarınızın hazırda bekleme moduna geçmesi için davranışı değiştirin.


Ne yazık ki bu, hazırda bekletme sırasında anahtarı doğrudan bellekten temizlemeyecektir. Biraz performans pahasına bundan kaçınmak için, şu öğreticiyi izleyerek takas dosyasını şifrelemeyi düşünebilirsiniz: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Yeterince hızlı hazırda bekletme yapabiliyorsanız, bu ayarlar soğuk önyükleme saldırılarını azaltacaktır.

MAC adresi rastgeleleştirmeyi etkinleştirin.

• Ubuntu, şu adımları izleyin https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses [Archive.org].
• Diğer dağıtımlar: Belgeleri kendiniz bulmanız gerekecek, ancak Ubuntu eğitimine oldukça benzer olmalıdır.
• Hala çalışması gereken bu öğreticiyi göz önünde bulundurun: https://josh.works/shell-script-basics-change-mac-address [Archive.org]

Linux'u güçlendirmek.

Yeni Linux kullanıcıları için hafif bir giriş olarak

[Invidious]


Daha ayrıntılı ve gelişmiş seçenekler için bkz:

• Bu mükemmel rehber: https://madaidans-insecurities.github.io/guides/linux-hardening.html [Archive.org]
• Bu mükemmel wiki kaynağı: https://wiki.archlinux.org/title/Security [Archive.org]
• Yukarıdaki kılavuza ve wikiye dayanan bu mükemmel komut dosyaları: https://codeberg.org/SalamanderSecurity/PARSEC [Archive.org]

Güvenli bir Tarayıcı kurma.

Bkz : Ek G: Ana İşletim Sisteminde Güvenli Tarayıcı

 

[HEISENBERG]

MacOS Ana İşletim Sistemi.

Not: Şu anda bu kılavuz ARM M1 MacBook'ları desteklememektedir (henüz). Virtualbox'ın henüz bu mimariyi desteklememesi nedeniyle. Bununla birlikte, VMWare veya Parallels gibi ticari araçlar kullanırsanız mümkün olabilir, ancak bunlar bu kılavuzda ele alınmamaktadır.


Daha önce de belirttiğim gibi, günlük dizüstü bilgisayarınızı çok hassas faaliyetler için kullanmanızı önermiyorum. Ya da en azından bunlar için yerinde işletim sisteminizi kullanmanızı önermiyorum. Bunu yapmak, sizi anonimleştirmek için kullanılabilecek istenmeyen veri sızıntılarına neden olabilir. Bunun için özel bir dizüstü bilgisayarınız varsa, yeni ve temiz bir işletim sistemini yeniden yüklemelisiniz. Dizüstü bilgisayarınızı silmek ve baştan başlamak istemiyorsanız, Tails rotasını düşünmeli veya kendi risklerinizle devam etmelisiniz.


Ayrıca herhangi bir veri sızıntısını önlemek için ilk kurulumu tamamen çevrimdışı yapmanızı öneririm.


Bu Mac'i kullanarak asla Apple hesabınızla oturum açmayın.

Kurulum sırasında.

• Çevrimdışı Kalın
• Konum hizmetleri de dahil olmak üzere istendiğinde tüm veri paylaşım taleplerini devre dışı bırakın
• Apple ile oturum açmayın
• Siri'yi etkinleştirmeyin

MacOS'u güçlendirmek.

Yeni MacOS kullanıcıları için hafif bir giriş olarak

[Invidious]


MacOS'unuzun güvenliğini sağlama ve sağlamlaştırma konusunda daha derinlemesine bilgi edinmek için, birçok konuyu ele alan bu GitHub kılavuzunu okumanızı tavsiye ederim: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Çevrimdışı kurulumunuzdan sonra atmanız gereken temel adımlar şunlardır:

"disable-reset-capability" seçeneği ile Firmware şifresini etkinleştirin.

Öncelikle Apple'ın şu kılavuzunu izleyerek bir aygıt yazılımı parolası oluşturmalısınız: https://support.apple.com/en-us/HT204455 [Archive.org]


Ne yazık ki, bazı saldırılar hala mümkündür ve bir düşman bu parolayı devre dışı bırakabilir, bu nedenle Apple dahil herhangi birinin ürün yazılımı parolasını devre dışı bırakmasını önlemek için bu kılavuzu da izlemelisiniz: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]

Uyku yerine Hazırda Bekletme'yi etkinleştirin.

Yine, bu, RAM'inizi kapatarak ve kapağı kapattığınızda şifreleme anahtarını temizleyerek bazı soğuk önyükleme ve kötü hizmetçi saldırılarını önlemek içindir. Her zaman ya hazırda bekletmeli ya da kapatmalısınız. MacOS'ta hazırda bekletme özelliğinin, hazırda bekletme sırasında şifreleme anahtarını bellekten özellikle temizlemek için özel bir seçeneği bile vardır (diğer İşletim Sistemlerinde belleğin azalmasını beklemeniz gerekebilir). Bir kez daha, ayarlar içinde bunu yapmak için kolay bir seçenek yoktur, bu nedenle hazırda bekletmeyi etkinleştirmek için birkaç komut çalıştırarak bunu yapmamız gerekecektir:

• Bir Terminal Açın
• Çalıştır: sudo pmset -a destroyfvkeyonstandby 1
  
  • Bu komut MacOS'a Bekleme (uyku) konumunda Filevault anahtarını yok etme talimatı verir
• Çalıştır: sudo pmset -a hibernatemode 25
  
  • Bu komut, MacOS'a uyku sırasında belleği açık tutan hibrit hazırda bekletme yerine belleği kapatma talimatı verecektir. Daha yavaş uyanmaya neden olacak ancak pil ömrünü artıracaktır.

Artık MacBook'unuzun kapağını kapattığınızda uyku yerine hazırda bekletme moduna geçecek ve soğuk önyükleme saldırıları gerçekleştirme girişimlerini azaltacaktır.


Ayrıca, MacBook'unuzun gözetimsiz bırakıldığında otomatik olarak hazırda bekletilmesi için otomatik uyku (Ayarlar > Enerji) ayarını da yapmalısınız.

Gereksiz hizmetleri devre dışı bırakın.

Ayarlar içindeki bazı gereksiz ayarları devre dışı bırakın:

• Bluetooth'u Devre Dışı Bırak
• Kamera ve Mikrofonu Devre Dışı Bırakma
• Konum Servislerini Devre Dışı Bırak
• Airdrop'u Devre Dışı Bırak
• İndekslemeyi Devre Dışı Bırak

Apple OCSP çağrılarını önleyin.

Bunlar MacOS Big Sur'un burada açıklanan kötü şöhretli "engellenemez telemetri" çağrılarıdır: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Terminal'de aşağıdaki komutu vererek OCSP raporlamasını engelleyebilirsiniz:

• sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Ancak harekete geçmeden önce muhtemelen asıl sorun hakkında kendinizi belgelemelisiniz. Bu sayfa başlamak için iyi bir yerdir: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Gerçekten size kalmış. Ben olsam engellerdim çünkü özel iznim olmadan işletim sistemimden ana gemiye hiçbir şekilde telemetri yapılmasını istemiyorum. Hiç istemem.

Tam Disk şifrelemesini etkinleştirin (Filevault).

Kılavuzun bu bölümüne göre Filevault kullanarak Mac'inizde tam disk şifrelemeyi etkinleştirmelisiniz: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Etkinleştirirken dikkatli olun. İstenirse kurtarma anahtarını Apple'da saklamayın (bu aşamada çevrimdışı olmanız gerektiğinden bir sorun olmayacaktır). Üçüncü bir tarafın kurtarma anahtarınıza sahip olmasını istemezsiniz.

MAC Adresi Rastgeleleştirme.

Ne yazık ki MacOS, MAC Adresinizi rastgele ayarlamak için uygun bir yol sunmadığından bunu manuel olarak yapmanız gerekecektir. Bu, her yeniden başlatmada sıfırlanacaktır ve çeşitli Wi-Fi'lere bağlanırken gerçek MAC Adresinizi kullanmadığınızdan emin olmak için her seferinde yeniden yapmanız gerekecektir.


Bunu terminalde aşağıdaki komutları vererek yapabilirsiniz (parantezler olmadan):

• (Wi-Fi'yi kapatın) networksetup -setairportpower en0 off
• (MAC Adresini değiştirin) sudo ifconfig en0 ether 88:63:11:11:11:11
• (Wi-Fi'yi tekrar açın) networksetup -setairportpower en0 on

Güvenli bir Tarayıcı kurma.

Bkz : Ek G: Ana İşletim Sisteminde Güvenli Tarayıcı

Windows Ana İşletim Sistemi.

Daha önce de belirttiğim gibi, günlük dizüstü bilgisayarınızı çok hassas faaliyetler için kullanmanızı önermiyorum. Ya da en azından bunlar için yerleşik işletim sisteminizi kullanmanızı önermiyorum. Bunu yapmak, sizi anonimleştirmek için kullanılabilecek istenmeyen veri sızıntılarına neden olabilir. Bunun için özel bir dizüstü bilgisayarınız varsa, yeni ve temiz bir işletim sistemini yeniden yüklemelisiniz. Dizüstü bilgisayarınızı silmek ve baştan başlamak istemiyorsanız, Tails rotasını düşünmeli veya kendi risklerinizle devam etmelisiniz.


Ayrıca herhangi bir veri sızıntısını önlemek için ilk kurulumu tamamen çevrimdışı yapmanızı tavsiye ederim.

Kurulum.

Ek A: Windows Kurulumu'nu takip etmelisiniz


Hafif bir giriş olarak şunları izlemeyi düşünün

[Invidious]

MAC adresi rastgele ayarlamayı etkinleştirin.

MAC adresinizi bu kılavuzun önceki bölümlerinde açıklandığı gibi rastgele ayarlamalısınız:


Ayarlar > Ağ ve İnternet > Wi-Fi > Rastgele donanım adreslerini etkinleştir'e gidin


Alternatif olarak, bu ücretsiz yazılımı kullanabilirsiniz: https://technitium.com/tmac/ [Archive.org]

Güvenli bir Tarayıcı kurma.

Bkz : Ek G: Ana İşletim Sisteminde Güvenli Tarayıcı

Ana Bilgisayar İşletim Sisteminizde bazı ek gizlilik ayarlarını etkinleştirin.

Bkz : Ek B: Windows Ek Gizlilik Ayarları

Windows Ana İşletim Sistemi şifrelemesi.

Eğer sistem çapında inkar edilebilirlik kullanmayı düşünüyorsanız.

Veracrypt tam disk şifreleme, dosya şifreleme ve makul inkar edilebilirlik için önereceğim yazılımdır. İyi bilinen ancak kullanımdan kaldırılmış ve bakımı yapılmamış TrueCrypt'in bir çatallamasıdır. Şunlar için kullanılabilir

• Tam Disk basit şifreleme (sabit sürücünüz bir parola ile şifrelenir).
• Makul inkar edilebilirlik ile Tam Disk şifreleme (bu, önyükleme sırasında girilen parolaya bağlı olarak, sahte bir işletim sistemi veya gizli bir işletim sistemi önyükleyeceğiniz anlamına gelir).
• Dosya konteyneri basit şifreleme (Veracrypt içinde şifrelenmiş dosyaları depolamak için harici bir sürücü gibi monte edebileceğiniz büyük bir dosyadır).
• Makul inkar edilebilirliğe sahip dosya konteyneri (aynı büyük dosyadır ancak bağlarken kullandığınız parolaya bağlı olarak ya bir "gizli birim" ya da "tuzak birim" bağlayacaksınız).

Bildiğim kadarıyla, genel kullanım için makul inkar edilebilirlik sağlayan ve Windows Home Edition ile çalışan tek ücretsiz, açık kaynaklı ve açık bir şekilde denetlenen şifreleme yazılımıdır (herkes tarafından uygun ve kullanılabilir).


Devam edin ve Veracrypt'i şu adresten indirip kurun: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


Kurulumdan sonra, lütfen bazı saldırıları azaltmaya yardımcı olacak aşağıdaki seçenekleri gözden geçirmek için bir dakikanızı ayırın:

• Belleği Veracrypt seçeneğiyle (ayarlar > performans/sürücü seçenekleri > RAM'i şifrele) %5-15 performans maliyetiyle şifreleyin. Bu ayar aynı zamanda hazırda bekletme özelliğini devre dışı bırakır (hazırda bekletme sırasında anahtarı aktif olarak temizlemez) ve bunun yerine bazı soğuk önyükleme saldırılarını azaltmak için belleği tamamen şifreler.
• Yeni bir cihaz takıldığında anahtarları bellekten silmek için Veracrypt seçeneğini etkinleştirin (sistem > ayarlar > güvenlik > yeni bir cihaz takıldığında anahtarları bellekten temizle). Bu, sisteminiz hala açıkken (ancak kilitliyken) ele geçirilmesi durumunda yardımcı olabilir.
• Birimleri çıkarılabilir birimler olarak bağlamak için Veracrypt seçeneğini etkinleştirin (Ayarlar > Tercihler > Birimi çıkarılabilir medya olarak bağla). Bu, Windows'un Olay günlüklerine bağladığınız birimlerle ilgili bazı günlükler yazmasını ve bazı yerel veri sızıntılarını önleyecektir.
• Tuhaf bir şey hissederseniz dikkatli olun ve iyi bir durumsal farkındalığa sahip olun. Dizüstü bilgisayarınızı mümkün olduğunca hızlı kapatın.
• Veracrypt'in yeni sürümleri Secure Boot'u desteklese de, Secure Boot yerine Veracrypt Anti-Evil Maid sistemini tercih ettiğim için BIOS'tan devre dışı bırakmanızı tavsiye ederim.

Eğer şifrelenmiş bellek kullanmak istemiyorsanız (çünkü performans bir sorun olabilir), en azından uyku yerine hazırda bekletme modunu etkinleştirmelisiniz. Bu, anahtarları bellekten silmeyecektir (soğuk önyükleme saldırılarına karşı hala savunmasızsınızdır) ancak en azından belleğinizin bozunması için yeterli zamanınız varsa bunları biraz azaltacaktır.


Daha fazla ayrıntı Rota A ve B: Veracrypt kullanarak Basit Şifreleme (Windows eğitimi) bölümünde.

Eğer sistem genelinde makul inkar edilebilirlik kullanmayı düşünmüyorsanız.

Bu durumda, tam disk şifrelemesi için Veracrypt yerine BitLocker kullanılmasını önereceğim. Bunun nedeni, BitLocker'ın Veracrypt'in aksine makul inkar edilebilirlik imkanı sunmamasıdır. Bu durumda, parolayı ifşa ederseniz, zorlu bir düşmanın "geliştirilmiş" sorgulamasını sürdürmek için hiçbir teşviki yoktur.


Normalde, bu durumda Windows Pro yüklemiş olmanız gerekir ve BitLocker kurulumu oldukça basittir.


Temel olarak buradaki talimatları takip edebilirsiniz: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Ama işte adımlar:

• Windows Menüsüne tıklayın
• "Bitlocker" yazın
• "Bitlocker'ı Yönet "e tıklayın
• Sistem Sürücünüzde "Bitlocker'ı Aç" seçeneğine tıklayın
• Talimatları takip edin
  
  • İstenirse kurtarma anahtarınızı bir Microsoft Hesabına kaydetmeyin.
  • Kurtarma anahtarını yalnızca harici bir şifrelenmiş sürücüye kaydedin. Bunu atlamak için Microsoft Print to PDF yazıcısını kullanarak kurtarma anahtarını yazdırın ve anahtarı Belgeler klasörüne kaydedin.
  • Tüm Sürücüyü Şifreleyin (yalnızca kullanılan disk alanını şifrelemeyin).
  • "Yeni Şifreleme Modu "nu kullanın
  • BitLocker Kontrolünü Çalıştırın
  • Yeniden Başlatma
• Şifreleme artık arka planda başlatılmalıdır (görev çubuğunun sağ alt tarafındaki Bitlocker simgesine tıklayarak kontrol edebilirsiniz).

Hazırda Bekletmeyi Etkinleştir (isteğe bağlı).

Yine, daha önce açıklandığı gibi. Bazı cold-boot ve evil-maid saldırılarını azaltmak için uyku özelliğini asla kullanmamalısınız. Bunun yerine, Kapatmalı veya hazırda bekletmelisiniz. Bu nedenle, kapağı kapatırken veya dizüstü bilgisayarınız uyku moduna geçtiğinde dizüstü bilgisayarınızı uyku modundan hazırda bekletme moduna geçirmelisiniz.


(Daha önce Veracrypt içinde RAM şifrelemesini etkinleştirdiyseniz hazırda bekletmeyi etkinleştiremeyeceğinizi unutmayın)


Bunun nedeni, Hazırda Beklet'in dizüstü bilgisayarınızı tamamen kapatması ve belleği temizlemesidir. Diğer yandan Uyku, belleği açık bırakır (şifre çözme anahtarınız dahil) ve dizüstü bilgisayarınızı soğuk önyükleme saldırılarına karşı savunmasız bırakabilir.


Varsayılan olarak, Windows 10 size bu imkanı sunmayabilir, bu nedenle bu Microsoft eğitimini izleyerek etkinleştirmelisiniz: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]

• Bir yönetici komut istemi açın (Komut İstemi'ne sağ tıklayın ve "Yönetici Olarak Çalıştır")
• Çalıştır: powercfg.exe /hibernate on
• Şimdi ek komutu çalıştırın: **powercfg /h /type full**
  
  • Bu komut hazırda bekleme modunuzun dolu olduğundan emin olacak ve belleği tamamen temizleyecektir (güvenli bir şekilde değil).

Bundan sonra güç ayarlarınıza girmelisiniz:

• Kontrol Panelini Açın
• Açık Sistem & Güvenlik
• Açık Güç Seçenekleri
• "Güç düğmesinin ne yapacağını seçin "i açın
• Uykudan hazırda bekletmeye veya kapatmaya kadar her şeyi değiştirin
• Güç Seçeneklerine geri dönün
• Plan Ayarlarını Değiştir'i seçin
• Gelişmiş Güç Ayarları'nı seçin
• Her Güç Planı için tüm Uyku Değerlerini 0 (Asla) olarak değiştirin
• Her Güç Planı için Hibrit Uyku'nun Kapalı olduğundan emin olun
• İstediğiniz süreden sonra Hazırda Beklet'i etkinleştirin
• Tüm Uyandırma zamanlayıcılarını devre dışı bırakın

Hangi alt rotayı izleyeceğinize karar vermek.

Şimdi iki seçenek arasından bir sonraki adımınızı seçmeniz gerekecek:

• Rota A: Mevcut işletim sisteminizin basit şifrelemesi
  
  • Artıları:
    
    • Dizüstü bilgisayarınızı silmenizi gerektirmez
    • Yerel veri sızıntılarıyla ilgili sorun yok
    • SSD sürücü ile iyi çalışıyor
    • Her işletim sistemi ile çalışır
    • Basit
  • Eksiler:
    
    • Düşman tarafından şifrenizi ve tüm sırlarınızı ifşa etmeye zorlanabilirsiniz ve hiçbir makul inkarınız olmayacaktır.
    • Çevrimiçi veri sızıntısı tehlikesi
• Rota B: Mevcut işletim sisteminizin basit bir şekilde şifrelenmesi ve daha sonra dosyaların kendileri üzerinde makul inkar edilebilirlik kullanılması:
  
  • Artıları:
    
    • Dizüstü bilgisayarınızı silmenizi gerektirmez
    • SSD sürücü ile iyi çalışıyor
    • Her işletim sistemi ile çalışır
    • "Yumuşak" düşmanlarla makul inkar edilebilirlik mümkün
  • Eksiler:
    
    • Çevrimiçi Veri Sızıntıları Tehlikesi
    • Yerel Veri sızıntıları tehlikesi (bu sızıntıları temizlemek için daha fazla çalışmaya yol açacaktır)
• Rota C: İşletim sisteminizin Makul İnkar Edilebilirlik Şifrelemesi (dizüstü bilgisayarda çalışan bir "gizli işletim sisteminiz" ve bir "tuzak işletim sisteminiz" olacaktır):
  
  • Artıları:
    
    • Yerel Veri sızıntıları ile ilgili sorun yok
    • "Yumuşak" düşmanlarla makul inkar edilebilirlik mümkün
  • Eksiler:
    
    • Windows gerektirir (bu özellik Linux'ta "kolayca" desteklenmez).
    • Çevrimiçi Veri sızıntısı tehlikesi
    • Dizüstü bilgisayarınızın tamamen silinmesini gerektirir
    • Kırpma İşlemlerinin devre dışı bırakılması gerekliliği nedeniyle SSD sürücü ile kullanılamaz. Bu, SSD sürücünüzün performansını/sağlığını zaman içinde ciddi şekilde düşürecektir.

Gördüğünüz gibi, Rota C diğerlerine göre sadece iki gizlilik avantajı sunmaktadır ve sadece yumuşak yasal bir düşmana karşı işe yarayacaktır. https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org] adresinihatırlayın.


Hangi rotayı izleyeceğinize karar vermek size kalmış. Rota A minimumdur.


En son yamalardan yararlandığınızdan emin olmak için Veracrypt'in yeni sürümlerini sık sık kontrol ettiğinizden emin olun. Özellikle Veracrypt önyükleyicisini bozabilecek ve sizi bir önyükleme döngüsüne sokabilecek büyük Windows güncellemelerini uygulamadan önce bunu kontrol edin.


VERACRYPT'İN VARSAYILAN OLARAK HER ZAMAN QWERTY'DE BİR SİSTEM ŞİFRESİ ÖNERECEĞİNİ UNUTMAYIN (şifreyi bir test olarak görüntüleyin). Bu, önyükleme girişiniz dizüstü bilgisayarınızın klavyesini kullanıyorsa (örneğin AZERTY) sorunlara neden olabilir, çünkü parolanızı QWERTY olarak ayarlamış olacaksınız ve önyükleme sırasında AZERTY olarak gireceksiniz. Bu nedenle, test önyüklemesi yaparken BIOS'unuzun hangi klavye düzenini kullandığını kontrol ettiğinizden emin olun. Sadece QWERTY/AZERTY karışıklığı yüzünden oturum açamayabilirsiniz. BIOS'unuz AZERTY kullanarak önyükleme yapıyorsa, Veracrypt içinde parolayı QWERTY ile yazmanız gerekecektir.

Rota A ve B: Veracrypt kullanarak Basit Şifreleme (Windows eğitimi)

Bunun yerine daha önce BitLocker kullandıysanız bu adımı atlayın.


Bu yöntem için bir HDD'ye sahip olmanız gerekmez ve bu yolda Trim'i devre dışı bırakmanız gerekmez. Trim sızıntıları yalnızca bir Gizli Birimin varlığını tespit etmede adli tıp için faydalı olacaktır, bunun dışında pek bir faydası olmayacaktır.


Bu yol oldukça basittir ve herhangi bir veri kaybı olmadan mevcut İşletim Sisteminizi yerinde şifreleyecektir. Veracrypt'in size gösterdiği tüm metinleri okuduğunuzdan emin olun, böylece neler olup bittiğini tam olarak anlayabilirsiniz.

• VeraCrypt'i Başlatın
• Ayarlar'a gidin:
  
  • Ayarlar > Performans/sürücü seçenekleri > RAM'i şifrele
  • Sistem > Ayarlar > Güvenlik > Yeni bir cihaz takıldığında anahtarları bellekten sil
  • Sistem > Ayarlar > Windows > Güvenli Masaüstünü Etkinleştir
• Sistem Seçiniz
• Sistem Bölümünü/Sürücüsünü Şifrele'yi seçin
• Normal'i seçin (Basit)
• Tek Önyükleme Seçin
• Şifreleme Algoritması olarak AES'i seçin (hızları karşılaştırmak istiyorsanız test düğmesine tıklayın)
• Hash Algoritması olarak SHA-512'yi seçin (çünkü neden olmasın)
• Güçlü bir parola girin (ne kadar uzun olursa o kadar iyidir, Ek A2: Parolalar ve parolalar için yönergeler'i unutmayın)
• Çubuk dolana kadar imlecinizi rastgele hareket ettirerek biraz entropi toplayın
• Oluşturulan Anahtarlar ekranında İleri'ye tıklayın
• Diski kurtarmak ya da kurtarmamak size kalmış. Bir tane yapmanızı öneririm (her ihtimale karşı), sadece şifrelenmiş sürücünüzün dışında sakladığınızdan emin olun (örneğin USB anahtarı veya güvenli yedeklemeler hakkında rehberlik için bu kılavuzun sonunu bekleyin ve görün). Bu kurtarma diski parolanızı saklamayacaktır ve kullanmak için yine de ona ihtiyacınız olacaktır.
• Silme modu:
  
  • Bu dizüstü bilgisayarda henüz hassas verileriniz yoksa Yok'u seçin
  • Eğer bir SSD'de hassas verileriniz varsa, Trim tek başına bunun üstesinden gelecektir ancak emin olmak için 1 geçiş (rastgele veri) yapmanızı tavsiye ederim.
  • Bir HDD'de hassas verileriniz varsa, Trim yoktur ve en az 1 geçiş tavsiye ederim.
• Kurulumunuzu test edin. Veracrypt şimdi şifrelemeden önce önyükleyiciyi test etmek için sisteminizi yeniden başlatacaktır. Şifrelemenin devam etmesi için bu testin geçmesi gerekir.
• Bilgisayarınız yeniden başlatıldıktan ve test geçildikten sonra. Veracrypt tarafından şifreleme işlemini başlatmanız istenecektir.
• Şifrelemeyi başlatın ve tamamlanmasını bekleyin.
• İşiniz bitti, Rota B'yi atlayın ve sonraki adımlara geçin.

Windows'ta Plausible Deniability ile şifrelenmiş dosya konteynerleri oluşturma hakkında başka bir bölüm olacak.

Rota B: Gizli İşletim Sistemi ile Makul İnkar Edilebilirlik Şifrelemesi (yalnızca Windows)

Bu yalnızca Windows'ta desteklenir.


Bu yalnızca bir HDD sürücüde önerilir. Bu, SSD sürücüde önerilmez.


Gizli işletim sisteminiz etkinleştirilmemelidir (MS ürün anahtarı ile). Bu nedenle, bu rota dizüstü bilgisayarınızdaki her şeyi silecek tam bir temiz kurulum önerecek ve size rehberlik edecektir.


Veracrypt Dokümantasyonunu https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Gizli İşletim Sistemi Oluşturma Süreci bölümü) ve https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Gizli Birimlere İlişkin Güvenlik Gereksinimleri ve Önlemleri) okuyun.


Bu işlem tamamlandıktan sonra sisteminiz bu şekilde görünecektir:

(Veracrypt Documentation, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] adresinden alınmıştır)


Gördüğünüz gibi bu işlem başlangıçtan itibaren sabit diskinizde iki bölüm olmasını gerektirir.


Bu işlem aşağıdakileri yapacaktır:

• Aldatıcı işletim sisteminden boş, biçimlendirilmemiş bir disk gibi görünecek ikinci bölümünüzü (dış birim) şifreleyin.
• Dış birimdeki bazı sahte içerikleri kopyalama fırsatını size sorar.
  
  • Burası, sahte Anime/Porn koleksiyonunuzu harici bir sabit diskten dış birime kopyalayacağınız yerdir.
• Bu ikinci bölümün dış birimi içinde gizli bir birim oluşturun. Burası gizli işletim sisteminin bulunacağı yerdir.
• Şu anda çalışmakta olan Windows 10 kurulumunuzu gizli birime klonlayın.
• Şu anda çalışan Windows 10'unuzu silin.
• Bu, mevcut Windows 10'unuzun gizli Windows 10 olacağı ve yeni bir tuzak Windows 10 işletim sistemini yeniden yüklemeniz gerekeceği anlamına gelir.

Eğer bir SSD sürücünüz varsa ve önerilere rağmen bunu yapmak istiyorsanız zorunludur: Windows'ta SSD Trim 'i devre dışı bırakın ( Trim'i devre dışı bırakmanın kendisi son derece şüpheli olduğu için bu yine hiç önerilmez )Ayrıca daha önce de belirtildiği gibi, Trim'i devre dışı bırakmak SSD sürücünüzün ömrünü kısaltacak ve zaman içinde performansını önemli ölçüde etkileyecektir (dizüstü bilgisayarınız neredeyse kullanılamaz hale gelene kadar birkaç ay boyunca daha yavaş ve daha yavaş hale gelecektir, daha sonra sürücüyü temizlemeniz ve her şeyi yeniden yüklemeniz gerekecektir). Ancak, adli tıpın makul inkar edilebilirliğinizi yenmesine izin verebilecek veri sızıntılarını önlemek için bunu yapmalısınız. Şu anda bunu aşmanın tek yolu, bunun yerine klasik HDD sürücülü bir dizüstü bilgisayara sahip olmaktır.

 

[HEISENBERG]

Adım 1: Windows 10 yükleme USB anahtarı oluşturun

Ek C: Windows Kurulum Medyası Oluşturma bölümüne bakın ve USB anahtarı yolunu izleyin.

Adım 2: USB anahtarını önyükleyin ve Windows 10 yükleme işlemini başlatın (Gizli İşletim Sistemi)

• USB anahtarını dizüstü bilgisayarınıza takın
• Ek A: Windows Kurulumu bölümüne bakın ve Windows 10 Home'u yüklemeye devam edin.

Adım 3: Gizlilik Ayarları (Gizli İşletim Sistemi)

Bkz : Ek B: Windows Ek Gizlilik Ayarları

Adım 4: Veracrypt yükleme ve şifreleme işlemi başlar (Gizli İşletim Sistemi)

https://www.veracrypt.fr/en/VeraCrypt Gizli İşletim Sistemi.html [Archive.org] adresini okumayı unutmayın.


Bu işletim sistemini bilinen Wi-Fi ağınıza bağlamayın. Veracrypt yükleyicisini farklı bir bilgisayardan indirmeli ve yükleyiciyi bir USB anahtarı kullanarak buraya kopyalamalısınız.

• Veracrypt'i yükleyin
• Veracrypt'i Başlat
• Ayarlar'a gidin:
  
  • Ayarlar > Performans/sürücü seçenekleri > RAM'i şifrele(bu seçeneğin dizüstü bilgisayarınızı hazırda bekletme ile uyumlu olmadığını ve tamamen kapatmanız gerektiği anlamına geldiğini unutmayın)
  • Sistem > Ayarlar > Güvenlik > Yeni bir cihaz takıldığında anahtarları bellekten sil
  • Sistem > Ayarlar > Windows > Güvenli Masaüstünü Etkinleştir
• Sistem'e gidin ve Gizli İşletim Sistemi Oluştur'u seçin
• Tüm yönergeleri dikkatlice okuyun
• İstenirse Single-Boot'u seçin
• AES ve SHA-512 kullanarak Dış Birimi oluşturun.
• Dış Birim için ikinci bölümdeki kullanılabilir tüm alanı kullanın
• Güçlü bir parola kullanın ( Ek A2: Parolalar ve parolalar için yönergeleri hatırlayın)
• Büyük Dosyalar için evet'i seçin
• Çubuk dolana kadar fareyi hareket ettirerek biraz Entropi oluşturun ve NTFS'yi seçin (bu dış birimin "normal" görünmesini istediğimizden ve NTFS normal olduğundan exFAT'yi seçmeyin).
• Dış Birimi Biçimlendirin
• Açık Dış Hacim:
  
  • Bu aşamada, sahte verileri dış birime kopyalamanız gerekir. Yani, oraya kopyalamak için bazı hassas ancak çok hassas olmayan dosyalarınız / klasörleriniz olmalıdır. Bu Birim için bir parola açıklamanız gerekirse diye. Burası Anime/Mp3/Film/Porn koleksiyonunuz için iyi bir yerdir.
  • Dış hacmi çok fazla veya çok az doldurmamanızı tavsiye ederim (yaklaşık %40). Gizli İşletim Sistemi için yeterli alan bırakmanız gerektiğini unutmayın (kurulum sırasında oluşturduğunuz ilk bölümle aynı boyutta olacaktır).
• Gizli Birim için güçlü bir parola kullanın (tabii ki Dış Birim için olandan farklı bir parola).
• Şimdi Gizli Birimi oluşturacaksınız, AES ve SHA-512'yi seçin
• Rastgele fare hareketleriyle entropi çubuğunu sonuna kadar doldurun
• Gizli Birimi biçimlendirme
• Klonlama ile Devam Edin
• Veracrypt şimdi yeniden başlayacak ve bu işlemi başlattığınız Windows'u Gizli Birime Klonlayacaktır. Bu Windows sizin Gizli İşletim Sisteminiz olacaktır.
• Klonlama tamamlandığında, Veracrypt Gizli Sistem içinde yeniden başlayacaktır
• Veracrypt size Gizli Sistemin artık yüklü olduğunu bildirecek ve ardından Orijinal İşletim Sistemini (daha önce USB anahtarıyla yüklediğiniz) silmenizi isteyecektir.
• 1-Pass Wipe'ı kullanın ve devam edin.
• Şimdi Gizli İşletim Sisteminiz yüklenmiş olacak, bir sonraki adıma geçin

Adım 5: USB anahtarı yeniden başlatın ve önyükleyin ve Windows 10 yükleme işlemini tekrar başlatın (Decoy OS)

Artık Gizli İşletim Sistemi tamamen yüklendiğine göre, bir Decoy İşletim Sistemi yüklemeniz gerekecektir.

• USB anahtarını dizüstü bilgisayarınıza takın
• Ek A: Windows Kurulumu bölümüne bakın ve Windows 10 Home'u tekrar yüklemeye devam edin (farklı bir sürüm yüklemeyin ve Home ile devam edin).

Adım 6: Gizlilik ayarları (Decoy OS)

Bkz : Ek B: Windows Ek Gizlilik Ayarları

Adım 7: Veracrypt yükleme ve şifreleme işlemi başlar (Decoy OS)

Şimdi Decoy OS'yi şifreleyeceğiz:

• Veracrypt'i yükleyin
• VeraCrypt'i Başlatın
• Sistem Seçiniz
• Sistem Bölümünü/Sürücüsünü Şifrele'yi seçin
• Normal'i seçin (Basit)
• Tek Önyükleme Seçin
• Şifreleme Algoritması olarak AES'i seçin (hızları karşılaştırmak istiyorsanız test düğmesine tıklayın)
• Hash Algoritması olarak SHA-512'yi seçin (çünkü neden olmasın)
• Kısa ve zayıf bir parola girin (evet bu ciddi, yapın, daha sonra açıklanacak).
• Çubuk dolana kadar imlecinizi rastgele hareket ettirerek biraz entropi toplayın
• Oluşturulan Anahtarlar ekranında İleri'ye tıklayın
• Diski kurtarmak ya da kurtarmamak size kalmış. Bir tane yapmanızı öneririm (her ihtimale karşı), sadece şifrelenmiş sürücünüzün dışında sakladığınızdan emin olun (örneğin USB anahtarı veya güvenli yedeklemeler hakkında rehberlik için bu kılavuzun sonunu bekleyin ve görün). Bu kurtarma diski parolanızı saklamayacaktır ve kullanmak için yine de ona ihtiyacınız olacaktır.
• Silme modu: Sadece güvende olmak için 1-Pass'ı seçin
• Kurulumunuzu Ön Test Edin. Veracrypt şimdi şifrelemeden önce önyükleyiciyi test etmek için sisteminizi yeniden başlatacaktır. Şifrelemenin devam etmesi için bu testin geçmesi gerekir.
• Bilgisayarınız yeniden başlatıldıktan ve test geçildikten sonra. Veracrypt tarafından şifreleme işlemini başlatmanız istenecektir.
• Şifrelemeyi başlatın ve tamamlanmasını bekleyin.
• Decoy OS'niz artık kullanıma hazırdır.

Adım 8: Kurulumunuzu test edin (Her İkisinde de Önyükleme)

Kurulumunuzu test etme zamanı.

• Yeniden başlatın ve Gizli İşletim Sistemi parolanızı girin, Gizli İşletim Sistemi içinde önyükleme yapmanız gerekir.
• Yeniden başlatın ve Decoy OS parolanızı girin, Decoy OS içinde önyükleme yapmalısınız.
• Decoy OS'de Veracrypt'i başlatın ve Dış Birim Parolasını kullanarak ikinci bölümü bağlayın (Bağlama Seçeneklerine gidip Salt Okunur'u seçerek salt okunur olarak bağlayın) ve ikinci bölümü tuzak verilerinizi (Anime / Porno koleksiyonunuz) görüntüleyen salt okunur olarak bağlamalıdır. Şu anda salt okunur olarak monte ediyorsunuz çünkü üzerine veri yazacak olsaydınız, Gizli İşletim Sisteminizdeki içeriği geçersiz kılabilirsiniz.

Adım 9: Dış Biriminizdeki tuzak verileri güvenli bir şekilde değiştirme

Bir sonraki adıma geçmeden önce, Dış Biriminizi üzerine içerik yazmak için güvenli bir şekilde bağlamanın yolunu öğrenmelisiniz. Bu aynı zamanda bu resmi Veracrypt Dokümantasyonunda da açıklanmıştır https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org]


Bunu güvenli ve güvenilir bir yerden yapmalısınız.


Temel olarak, Dış Biriminizi bağlarken Gizli Birimin üzerine yazılmasını önlemek için Bağlama Seçenekleri içinde Gizli Birim parolasını da sağlayacaksınız. Veracrypt daha sonra Gizli Birimdeki herhangi bir verinin üzerine yazma riski olmadan Dış birime veri yazmanıza izin verecektir.


Bu işlem aslında Gizli Birimi monte etmeyecektir ve Gizli İşletim Sisteminin bulunmasına yol açabilecek herhangi bir adli kanıtın oluşturulmasını engelleyecektir. Ancak, bu işlemi gerçekleştirirken her iki parola da RAM'inizde saklanacaktır ve bu nedenle Soğuk Önyükleme Saldırısına maruz kalabilirsiniz. Bunu azaltmak için RAM'inizi de şifreleme seçeneğine sahip olduğunuzdan emin olun.

• Veracrypt'i Açın
• İkinci Bölümünüzü Seçin
• Click Mount
• Montaj Seçenekleri'ne tıklayın
• "Gizli birimi koru..." seçeneğini işaretleyin Opsiyon
• Gizli İşletim Sistemi parolasını girin
• Tamam'a tıklayın
• Dış Birim parolanızı girin
• Tamam'a tıklayın
• Artık içeriği değiştirmek için Dış biriminizi açabilmeli ve yazabilmelisiniz (kopyalama/taşıma/silme/düzenleme...)

10. Adım: Decoy OS içinde dış Biriminizin (tuzak Verilerle birlikte) bazı adli tıp kanıtlarını bırakın

Decoy OS'yi mümkün olduğunca inandırıcı hale getirmeliyiz. Ayrıca düşmanınızın sizin o kadar da zeki olmadığınızı düşünmesini istiyoruz.


Bu nedenle, Decoy OS'nizde gönüllü olarak Decoy İçeriğinize dair bazı adli kanıtlar bırakmanız önemlidir. Bu kanıt, adli tıp uzmanlarının Dış Biriminizi içeriğine erişmek için sık sık bağladığınızı görmelerini sağlayacaktır.


İşte bazı adli kanıtlar bırakmak için iyi ipuçları:

• Dış Birimdeki içeriği Decoy OS'nizden oynatın (örneğin VLC kullanarak). Bunların bir geçmişini tuttuğunuzdan emin olun.
• Belgeleri düzenleyin ve içlerinde çalışın.
• Decoy OS'de Dosya İndekslemeyi tekrar etkinleştirin ve Monte Edilmiş Dış Birimi dahil edin.
• Bağlantıyı kaldırın ve bazı İçerikleri izlemek için sık sık bağlayın.
• Dış Biriminizden bazı İçerikleri Decoy OS'nize kopyalayın ve ardından güvenli olmayan bir şekilde silin (sadece geri dönüşüm kutusuna koyun).
• Decoy OS'de yüklü bir Torrent İstemcisi bulundurun ve zaman zaman Decoy OS'de bırakacağınız bazı benzer şeyleri İndirmek için kullanın.
• Decoy OS'de bilinen bir VPN'inizle (nakit ödemeli olmayan) bir VPN istemcisi kurabilirsiniz.

Decoy OS'ye şüpheli bir şey koymayın, örneğin:

• Bu kılavuz
• Bu kılavuza herhangi bir bağlantı
• Tor Browser gibi herhangi bir şüpheli anonimlik yazılımı

Notlar.

Bu makul inkar senaryosunun işe yaraması için geçerli bahanelere ihtiyacınız olacağını unutmayın:


Veracrypt belgelerinin "Tek Sürücüde İki Veracrypt Bölümünün Varlığına İlişkin Olası Açıklamalar" bölümünü tekrar okumak için biraz zaman ayırın: https:/ /www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]

• Veracrypt kullanıyorsunuz çünkü Bitlocker özelliği olmayan Windows 10 Home kullanıyorsunuz ama yine de Gizlilik istiyorsunuz.
• İki Bölümünüz var çünkü kolay düzenleme için Sistem ve Verileri ayırmak istediniz ve bazı Geek arkadaşlarınız bunun performans için daha iyi olduğunu söyledi.
• Sistem üzerinde kolay ve rahat önyükleme için zayıf bir parola ve Dış Birim üzerinde Güçlü ve uzun bir parola kullandınız çünkü her önyüklemede güçlü bir parola yazmaya üşendiniz.
• İkinci Bölümü Sistemden farklı bir parola ile şifrelediniz çünkü çevrenizdeki kimsenin eşyalarınızı görmesini istemiyorsunuz. Ve böylece, bu verilerin kimsenin erişimine açık olmasını istemediniz.

Dikkatli olun:

• Gizli Birimi asla Decoy OS'den bağlamamalısınız (ASLA ASLA). Bunu yaparsanız, Decoy OS içindeki Gizli Birim için adli kanıt oluşturacak ve bu da makul inkar edilebilirlik girişiminizi tehlikeye atabilecektir. Bunu yine de (kasıtlı veya yanlışlıkla) Decoy OS'den yaptıysanız, bu kılavuzun sonunda daha sonra açıklanacak olan adli tıp kanıtlarını silmenin yolları vardır.
• Tuzak İşletim Sistemini asla Gizli İşletim Sistemi ile aynı ağdan (halka açık Wi-Fi) kullanmayın.
• Dış Birimi Sahte İşletim Sisteminden bağladığınızda, Dış Birim içine herhangi bir Veri yazmayın, çünkü bu Boş Alan gibi görünen ancak aslında Gizli İşletim Sisteminiz olan şeyi geçersiz kılabilir. Her zaman salt okunur olarak bağlamalısınız.
• Dış Birimin Decoy içeriğini değiştirmek istiyorsanız, Veracrypt'i çalıştıracak bir Canlı İşletim Sistemi USB Anahtarı kullanmalısınız.
• Gizli İşletim Sistemini hassas faaliyetleri gerçekleştirmek için kullanmayacağınızı unutmayın, bu daha sonra Gizli İşletim Sistemi içindeki bir Sanal Makineden yapılacaktır. Gizli İşletim Sistemi yalnızca sizi dizüstü bilgisayarınıza erişebilecek ve şifrenizi açıklamaya zorlayabilecek yumuşak bir düşmandan korumak içindir.
• Dizüstü bilgisayarınızı kurcalamaya karşı dikkatli olun. Evil-Maid Saldırıları gizli işletim sisteminizi açığa çıkarabilir.

 

[HEISENBERG]

Ana İşletim Sisteminizde Virtualbox.

Ek W: Sanallaştırma'yı hatırlayın.


Bu adım ve sonraki adımlar Ana İşletim Sistemi içinden yapılmalıdır. Bu, basit şifrelemeye sahip Ana İşletim Sisteminiz (Windows/Linux/MacOS) ya da makul inkar edilebilirliğe sahip Gizli İşletim Sisteminiz (yalnızca Windows) olabilir.


Bu rotada, ücretsiz Oracle Virtualbox yazılımını kapsamlı bir şekilde kullanacağız. Bu, belirli bir işletim sistemini çalıştıran bir bilgisayarı taklit eden Sanal Makineler oluşturabileceğiniz bir sanallaştırma yazılımıdır (Xen, Qemu, KVM veya VMWARE gibi başka bir şey kullanmak istiyorsanız, bunu yapmaktan çekinmeyin, ancak kılavuzun bu bölümü kolaylık sağlamak için yalnızca Virtualbox'ı kapsamaktadır).


Bu nedenle, Virtualbox'ın güvenlik açısından en iyi geçmişe sahip sanallaştırma yazılımı olmadığını ve bildirilen bazı sorunların bugüne kadar tamamen giderilmediğini ve biraz daha teknik becerilere sahip Linux kullanıyorsanız, bunun yerine Whonix'te bulunan kılavuzu takip ederek KVM kullanmayı düşünmelisiniz https://www.whonix.org/wiki/KVM [Archive.org] ve burada https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive. org]


Her durumda bazı adımlar atılmalıdır:


Tüm hassas faaliyetleriniz Windows 10 Pro (bu sefer Home değil), Linux veya MacOS çalıştıran bir konuk Sanal Makine içinden yapılacaktır.


Bunun anonim kalmanıza büyük ölçüde yardımcı olacak birkaç avantajı vardır:

• Konuk VM işletim sisteminin (Windows/Linux/MacOS), uygulamaların ve VM'lerdeki herhangi bir telemetrinin donanımınıza doğrudan erişmesini engellemelidir. Sanal makineniz kötü amaçlı yazılım tarafından tehlikeye atılsa bile, bu kötü amaçlı yazılım sanal makineye girememeli ve gerçek dizüstü bilgisayarınızı tehlikeye atamamalıdır.
• İstemci sanal makinenizden gelen tüm ağ trafiğini, tüm trafiği Tor Ağına yönlendirecek (torify edecek) başka bir Ağ Geçidi sanal makinesinden geçmeye zorlamamıza izin verecektir. Bu bir ağ "kill switch "idir. Diğer sanal makine Tor Ağına olan bağlantısını kaybederse, sanal makineniz ağ bağlantısını tamamen kaybedecek ve çevrimdışı olacaktır.
• Yalnızca Tor Ağ Geçidi üzerinden internet bağlantısına sahip olan sanal makinenin kendisi, Tor üzerinden nakit ödemeli VPN hizmetinize bağlanacaktır.
• DNS Sızıntıları imkansız olacaktır çünkü sanal makine ne olursa olsun Tor üzerinden geçmesi gereken yalıtılmış bir ağdadır.

 

[HEISENBERG]

Bağlantı yönteminizi seçin.

Bu rotada 7 olasılık bulunmaktadır:

• Önerilen ve tercih edilen:
  
  • Tor'u tek başına kullanma (Kullanıcı > Tor > İnternet)
  • Belirli durumlarda Tor üzerinden VPN kullanın (Kullanıcı > Tor > VPN > İnternet)
• Bağlam gerektiriyorsa mümkündür:
  
  • VPN üzerinden Tor üzerinden VPN kullanın (Kullanıcı > VPN > Tor > VPN > İnternet)
  • VPN üzerinden Tor kullanın (Kullanıcı > VPN > Tor > İnternet)
• Tavsiye edilmez ve risklidir:
  
  • VPN'i tek başına kullanma (Kullanıcı > VPN > İnternet)
  • VPN üzerinden VPN kullanma (Kullanıcı > VPN > VPN > İnternet)
• Tavsiye edilmez ve oldukça risklidir (ancak mümkündür)
  
  • VPN ve Tor yok (Kullanıcı > İnternet)

Yalnızca Tor.

Bu, tercih edilen ve en çok önerilen çözümdür.

Bu çözümle, tüm ağınız Tor üzerinden geçer ve çoğu durumda anonimliğinizi garanti etmek için yeterli olmalıdır.


Bununla birlikte bir ana dezavantaj vardır: Bazı hizmetler Tor Çıkış düğümlerini tamamen engeller / yasaklar ve bunlardan hesap oluşturulmasına izin vermez.


Bunu hafifletmek için bir sonraki seçeneği düşünmeniz gerekebilir: Tor üzerinden VPN, ancak bir sonraki bölümde açıklanan bununla ilişkili bazı riskleri göz önünde bulundurun.

Tor üzerinden VPN/Proxy.

Bu çözüm, Tor Çıkış düğümünden hedef hizmete erişimin imkansız olduğu bazı özel durumlarda Tor kullanımına karşı bazı avantajlar sağlayabilir. Bunun nedeni, birçok hizmetin Tor'u tamamen yasaklaması, engellemesi veya bloke etmesidir ( bkz. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Bu örnekte görebileceğiniz gibi, nakit (tercih edilen)/Monero ödemeli VPN/Proxy'niz bir düşman tarafından ele geçirilirse (gizlilik beyanlarına ve kayıt tutmama politikalarına rağmen), yalnızca bir Tor Çıkış düğümünden hizmetlerine bağlanan anonim bir nakit/Monero ödemeli VPN/Proxy hesabı bulacaklardır.

Bir düşman bir şekilde Tor ağını da tehlikeye atmayı başarırsa, yalnızca kimliğinize bağlı olmayan rastgele bir halka açık Wi-Fi'nin IP'sini ortaya çıkaracaktır.


Bir düşman bir şekilde VM işletim sisteminizi ele geçirirse (örneğin bir kötü amaçlı yazılım veya istismar ile), Whonix'in dahili Ağı içinde sıkışıp kalacak ve halka açık Wi-Fi'nin IP'sini açığa çıkaramayacaktır.


Ancak bu çözümün dikkate alınması gereken bir ana dezavantajı vardır: Tor Akış İzolasyonu ile etkileşim.


Akış yalıtımı, her uygulama için farklı Tor Devrelerine sahip olarak bazı korelasyon saldırılarını önlemek için kullanılan bir azaltma tekniğidir. Akış izolasyonunun ne olduğunu gösteren bir örnek aşağıda verilmiştir:

(Marcelo Martins'ten illüstrasyon, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


Tor üzerinden VPN/Proxy sağ tarafa düşer, yani Tor üzerinden VPN/Proxy kullanmak Tor'u her biri için birden fazla devre yerine tüm etkinlikler için tek bir devre kullanmaya zorlar. Bu, Tor üzerinden VPN/Proxy kullanmanın bazı durumlarda Tor'un etkinliğini bir miktar azaltabileceği ve bu nedenle yalnızca bazı özel durumlarda kullanılması gerektiği anlamına gelir:

• Hedef hizmetiniz Tor Çıkış düğümlerine izin vermiyorsa.
• Çeşitli hizmetler için paylaşılan bir Tor devresi kullanmanın sakıncası olmadığında. Örneğin kimliği doğrulanmış çeşitli hizmetleri kullanmak gibi.

Ancak amacınız sadece rastgele çeşitli kimliği doğrulanmamış web sitelerinde gezinmek olduğunda bu yöntemi kullanmamayı düşünmelisiniz, çünkü Akış İzolasyonundan yararlanamazsınız ve bu, her oturumunuz arasında bir düşman için zaman içinde korelasyon saldırılarını kolaylaştırabilir (bkz. Anonimleştirilmiş Tor/VPN trafiğiniz). Ancak amacınız her oturumda aynı kimliği aynı doğrulanmış hizmetlerde kullanmaksa, başka yollarla ilişkilendirilebileceğiniz için Akış izolasyonunun değeri azalır.


Ayrıca Akış İzolasyonunun Whonix Workstation'da varsayılan olarak yapılandırılmadığını da bilmelisiniz. Yalnızca bazı uygulamalar (Tor Browser dahil) için önceden yapılandırılmıştır.


Ayrıca Akış Yalıtımının Tor devrenizdeki tüm düğümleri değiştirmesi gerekmediğini de unutmayın. Bazen yalnızca bir ya da iki düğümü değiştirebilir. Çoğu durumda, Akış Yalıtımı (örneğin Tor Browser'da) aynı koruma (giriş) düğümünü korurken yalnızca aktarma (orta) düğümünü ve çıkış düğümünü değiştirir.


Daha fazla bilgi için:

• https://www.whonix.org/wiki/Stream_Isolation [Archive.org]
• https://tails.boum.org/contribute/design/stream_isolation/ [Archive.org]
• https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table [Archive.org]

VPN üzerinden Tor.

Merak ediyor olabilirsiniz: Peki, Tor üzerinden VPN yerine VPN üzerinden Tor kullanmaya ne dersiniz? Ben olsam bunu yapmazdım:

• Dezavantajlar
  
  • VPN sağlayıcınız, kaynak IP'nizi bilecek ve gerekirse sizi anonimleştirebilecek başka bir İSS'dir. Onlara güvenmiyoruz. VPN sağlayıcınızın kim olduğunuzu bilmediği bir durumu tercih ederim. Anonimlik açısından pek bir şey katmaz.
  • Bu, birçok yerde yasaklanan/etiketlenen bir Tor Çıkış Düğümünün IP'sini kullanarak çeşitli hizmetlere bağlanmanıza neden olur. Kolaylık açısından yardımcı olmaz.
• Avantajlar:
  
  • Asıl avantajı, Tor erişiminin imkansız/tehlikeli/şüpheli olduğu düşmanca bir ortamdaysanız, ancak VPN'in sorun olmamasıdır.
  • Bu yöntem ayrıca Tor Akışı izolasyonunu bozmaz.

Not: Engelleme/sansür nedeniyle Tor Ağına erişimde sorun yaşıyorsanız Tor Köprülerini kullanmayı deneyebilirsiniz. Bkz: Ek X: Tor köprülerini düşmanca ortamlarda kullanma.


Bunun yerine iki nakit/Monero ödemeli VPN kullanarak VPN üzerinden Tor üzerinden VPN (Kullanıcı > VPN > Tor > VPN > İnternet) kullanmayı da düşünebilirsiniz. Bu, Ana İşletim Sistemini Herkese Açık Wi-Fi'nizden ilk VPN'e bağlayacağınız, ardından Whonix'in Tor'a bağlanacağı ve son olarak VM'nizin VPN üzerinden Tor üzerinden ikinci bir VPN'e bağlanacağı anlamına gelir (b kz. https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


Bu elbette önemli bir performans etkisine sahip olacak ve oldukça yavaş olabilir, ancak makul bir anonimlik elde etmek için Tor'un bir yerde gerekli olduğunu düşünüyorum.


Bunu teknik olarak başarmak bu rotada kolaydır, iki ayrı anonim VPN hesabına ihtiyacınız vardır ve Ana İşletim Sisteminden ilk VPN'e bağlanmalı ve rotayı takip etmelisiniz.


Sonuç: Bunu yalnızca Tor'u tek başına kullanmanın riskli/imkansız olduğunu ancak VPN'lerin iyi olduğunu düşünüyorsanız yapın. Ya da sadece yapabildiğiniz için ve neden olmasın.

 

[HEISENBERG]

Sadece VPN.

Bu yol açıklanmayacak veya tavsiye edilmeyecektir.


VPN kullanabiliyorsanız, üzerine bir Tor katmanı ekleyebilmeniz gerekir. Ve Tor kullanabiliyorsanız, tercih edilen çözümü elde etmek için Tor üzerine anonim bir VPN ekleyebilirsiniz.


Sadece bir VPN ya da VPN üzerinden bir VPN kullanmanın bir anlamı yoktur çünkü bunlar zaman içinde size kadar takip edilebilir. VPN sağlayıcılarından biri gerçek kaynak IP'nizi bilecektir (güvenli bir kamusal alanda olsa bile) ve bunun üzerine bir tane ekleseniz bile, ikincisi hala diğer ilk VPN hizmetini kullandığınızı bilecektir. Bu, anonimleştirilmenizi yalnızca biraz geciktirecektir. Evet, bu ek bir katmandır ... ancak kalıcı merkezi bir ek katmandır ve zaman içinde anonimleştirilebilirsiniz. Bu sadece hepsi yasal taleplere tabi olan 3 İSS'yi zincirlemektir.


Daha fazla bilgi için lütfen aşağıdaki referanslara bakınız:

• https://www.whonix.org/wiki/Compari..._VPN_Services#Tor_and_VPN_Services_Comparison [Archive.org]
• https://www.whonix.org/wiki/Why_does_Whonix_use_Tor [Archive.org]
• https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]
• https://gist.github.com/joepie91/5a9909939e6ce7d09e29#file-vpn-md [Archive.org]
• https://schub.wtf/blog/2019/04/08/very-precarious-narrative.html [Archive.org]

Bu kılavuz bağlamında Tor, makul ve güvenli anonimlik elde etmek için gerekli bir yerdir ve yapabiliyorsanız kullanmalısınız.

VPN/Tor yok.

Bulunduğunuz yerde VPN veya Tor kullanamıyorsanız, muhtemelen gözetim ve kontrolün çok yüksek olduğu çok düşmanca bir ortamdasınız demektir.


Sadece yapmayın, buna değmez ve çok riskli IMHO. Fiziksel konumunuza birkaç dakika içinde ulaşabilecek motive olmuş herhangi bir düşman tarafından neredeyse anında anonimleştirilebilirsiniz.


Düşmanlar (tehditler) ve Ek S: OONI kullanarak ağınızda gözetim/sansür olup olmadığını kontrol etmeyi unutmayın.


Başka hiçbir seçeneğiniz yoksa ve yine de bir şeyler yapmak istiyorsanız, Ek P: Tor/VPN bir seçenek olmadığında internete mümkün olduğunca güvenli bir şekilde erişmek (riski size ait olmak üzere) ve bunun yerine Kuyruklar rotasını düşünün.

Sonuç.

Ne yazık ki, yalnızca Tor kullanmak birçok destinasyon platformunun şüphesini çekecektir. Sadece Tor kullanırsanız birçok engelle (captcha'lar, hatalar, kaydolma zorlukları) karşılaşırsınız. Ayrıca, bulunduğunuz yerde Tor kullanmanız sırf bu yüzden başınızı derde sokabilir. Ancak Tor anonimlik için en iyi çözüm olmaya devam ediyor ve anonimlik için mutlaka bir yerde olmalısınız.

• Amacınız Tor'dan erişimin zor olduğu çeşitli hizmetlerde kalıcı paylaşılan ve kimliği doğrulanmış kimlikler oluşturmaksa, Tor üzerinden VPN seçeneğini (veya gerekirse VPN üzerinden Tor üzerinden VPN) öneririm. Tor Stream izolasyonunun kırılması nedeniyle korelasyon saldırılarına karşı biraz daha az güvenli olabilir, ancak çevrimiçi kaynaklara erişimde sadece Tor kullanmaktan çok daha fazla kolaylık sağlar. Kimliğiniz konusunda yeterince dikkatli iseniz, bu "kabul edilebilir" bir değiş tokuş IMHP'dir.
• Ancak amacınız, Tor dostu hizmetleri kullanarak belirli paylaşılan kimlikler oluşturmadan yalnızca rastgele hizmetlere anonim olarak göz atmaksa; veya önceki seçenekteki bu değiş tokuşu kabul etmek istemiyorsanız. O zaman Akış İzolasyonu'nun tüm avantajlarından faydalanmak için Yalnızca Tor rotasını kullanmanızı öneririm (ya da gerekirse VPN üzerinden Tor).
• Maliyet bir sorunsa, mümkünse Yalnızca Tor seçeneğini öneririm.
• Hem Tor hem de VPN erişimi imkansız veya tehlikeli ise, o zaman güvenli bir şekilde Kamusal wi-fi'lere güvenmekten başka seçeneğiniz yoktur. Ek P'ye bakın : Tor ve VPN'ler bir seçenek olmadığında internete mümkün olduğunca güvenli bir şekilde erişmek

Daha fazla bilgi için, kendi kararınızı vermenize yardımcı olabilecek tartışmaları da burada görebilirsiniz:

• Tor Projesi: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN [Archive.org]
• Tails Dokümantasyonu:
  
  • https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ [Archive.org]
  • https://tails.boum.org/support/faq/index.en.html#index20h2 [Archive.org]
• Whonix Dokümantasyonu (bu sırayla):
  
  • https://www.whonix.org/wiki/Tunnels/Introduction [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_Tor_before_a_VPN [Archive.org]
  • https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]
• Konuyla ilgili bazı makaleler:
  
  • https://www.researchgate.net/public...communication_VPN_and_Tor_a_comparative_study [Archive.org]

 

[HEISENBERG]

Anonim bir VPN/Proxy edinin.

Yalnızca Tor kullanmak istiyorsanız bu adımı atlayın.


Bkz : Ek O: Anonim bir VPN/Proxy edinin

Whonix.

Tor kullanamıyorsanız bu adımı atlayın.


Bu yol, anonimleştirme sürecinin bir parçası olarak Sanallaştırma ve Whonix309 kullanacaktır. Whonix iki Sanal Makineden oluşan bir Linux dağıtımıdır:

• Whonix İş İstasyonu (bu, hassas faaliyetleri yürütebileceğiniz bir sanal makinedir)
• Whonix Ağ Geçidi (bu sanal makine Tor ağına bir bağlantı kuracak ve İş İstasyonundan gelen tüm ağ trafiğini Tor ağı üzerinden yönlendirecektir).

Bu kılavuz bu nedenle bu rotanın 2 çeşidini önerecektir:

• Whonix yalnızca tüm trafiğin Tor Ağı üzerinden yönlendirildiği rota (Yalnızca Tor veya VPN üzerinden Tor).

Tüm trafiğin Tor Ağı üzerinden nakit (tercih edilen)/Monero ödemeli bir VPN (VPN over Tor veya VPN over Tor over VPN) aracılığıyla yönlendirildiği bir Whonix hibrit rotası.

Tavsiyelerime göre hangi aromayı kullanacağınıza karar verebileceksiniz. Ben daha önce de açıkladığım gibi ikincisini öneriyorum.


Whonix iyi korunur ve kapsamlı ve inanılmaz derecede ayrıntılı belgelere sahiptir.

Virtualbox Anlık Görüntüleri hakkında bir not.

Daha sonra, hassas faaliyetleriniz için Virtualbox içinde birkaç Sanal Makine oluşturacak ve çalıştıracaksınız. Virtualbox, bir Sanal Makinenin durumunu herhangi bir zamanda kaydetmeye olanak tanıyan "Anlık Görüntüler" adı verilen bir özellik sağlar. Daha sonra herhangi bir nedenle o duruma geri dönmek isterseniz, bu anlık görüntüyü istediğiniz zaman geri yükleyebilirsiniz.


Her sanal makinenin ilk kurulumundan / güncellemesinden sonra bir anlık görüntü oluşturarak bu özelliği kullanmanızı şiddetle tavsiye ederim. Bu anlık görüntü, herhangi bir hassas/anonim etkinlik için kullanılmadan önce alınmalıdır.


Bu, sanal makinelerinizi bir tür tek kullanımlık "Canlı İşletim Sistemlerine" (daha önce tartışılan Tails gibi) dönüştürmenize olanak tanıyacaktır. Yani, bir Anlık Görüntüyü daha önceki bir duruma geri yükleyerek bir VM içindeki faaliyetlerinizin tüm izlerini silebileceksiniz. Elbette bu Tails (her şeyin bellekte saklandığı) kadar "iyi" olmayacaktır çünkü sabit diskinizde bu faaliyetin izleri kalabilir. Adli tıp çalışmaları, geri döndürülmüş bir sanal makineden veri kurtarma yeteneğini göstermiştir. Neyse ki, silme veya önceki bir anlık görüntüye geri dönme işleminden sonra bu izleri kaldırmanın yolları olacaktır. Bu tür teknikler, bu kılavuzun Adli Tıp'a karşı bazı ek önlemler bölümünde ele alınacaktır.

Virtualbox ve Whonix yardımcı programlarını indirin.

Ana işletim sistemi içinde birkaç şey indirmelisiniz.

• Ana İşletim Sisteminize göre Virtualbox yükleyicisinin en son sürümü https://www.virtualbox.org/wiki/Downloads [Archive.org]
• (VPN aracılığıyla Tor kullanamıyorsanız bunu atlayın) Tercihinize göre https://www.whonix.org/wiki/Download [Archive.org] adresinden en son Whonix OVA dosyası (Linux/Windows, basitlik için XFCE masaüstü arayüzü ile veya ileri düzey kullanıcılar için yalnızca metin istemcisi ile)

Bu, hazırlıkları tamamlayacak ve artık çevrimiçi anonimliğinizi koruyacak son ortamı kurmaya başlamaya hazır olmalısınız.

Virtualbox Sertleştirme önerileri.

İdeal güvenlik için, her Virtualbox Sanal Makinesi için burada verilen önerileri izlemelisiniz https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:

• Sesi devre dışı bırakın.
• Paylaşılan Klasörleri etkinleştirmeyin.
• 2D hızlandırmayı etkinleştirmeyin. Bu, aşağıdaki komutu çalıştırarak yapılır VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
• 3D hızlandırmayı etkinleştirmeyin.
• Seri Bağlantı Noktasını etkinleştirmeyin.
• Disket sürücüsünü çıkarın.
• CD/DVD sürücüsünü çıkarın.
• Uzak Ekran sunucusunu etkinleştirmeyin.
• PAE/NX'i etkinleştirin (NX bir güvenlik özelliğidir).
• Gelişmiş Yapılandırma ve Güç Arabirimini (ACPI) devre dışı bırakın. Bu, aşağıdaki VBoxManage modifyvm "vm-id" --acpi on|off komutu çalıştırılarak yapılır
• USB aygıtlarını takmayın.
• Varsayılan olarak etkin olan USB denetleyicisini devre dışı bırakın. İşaretleme Aygıtını "PS/2 Fare" olarak ayarlayın, aksi takdirde değişiklikler geri döner.

Son olarak, sanal makinenizin saatini ana işletim sisteminize göre senkronize etmek için bu öneriyi de izleyin https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


Bu ofset 60000 milisaniye aralığında olmalı ve her sanal makine için farklı olmalıdır ve işte bazı örnekler (daha sonra herhangi bir sanal makineye uygulanabilir):

• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
• VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Ayrıca, VirtualBox Program Dizini'nden bu komutu çalıştırarak Spectre/Meltdown güvenlik açıklarını azaltmak için VirtualBox'tan bu hafifletmeleri uygulamayı düşünün. Tüm bunlar burada açıklanmaktadır: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (bunların sanal makinelerinizin performansını ciddi şekilde etkileyebileceğini ancak en iyi güvenlik için yapılması gerektiğini unutmayın).


Son olarak Virtualbox'ın kendisinden gelen güvenlik tavsiyelerini dikkate alın: https: //www.virtualbox.org/manual/ch13.html [Archive.org]

 

[HEISENBERG]

VPN üzerinden Tor.

VPN üzerinden Tor kullanmayı düşünmüyorsanız ve yalnızca Tor kullanmayı düşünüyorsanız veya kullanamıyorsanız bu adımı atlayın.


Herhangi bir nedenle VPN üzerinden Tor kullanmayı düşünüyorsanız. Öncelikle ana işletim sisteminizde bir VPN hizmeti yapılandırmanız gerekir.


Bu durumda iki VPN hesabınız olmasını önerdiğimi unutmayın. Her ikisi de nakit/Monero ile ödenmiş olsun (bkz. Ek O: Anonim bir VPN/Proxy edinin). Biri ilk VPN bağlantısı için Ana İşletim Sisteminde kullanılacaktır. Diğeri ise VPN üzerinden Tor üzerinden VPN elde etmek için VM'de kullanılabilir (Kullanıcı > VPN > Tor > VPN).


Yalnızca VPN üzerinden Tor kullanmayı düşünüyorsanız, yalnızca bir VPN hesabına ihtiyacınız vardır.


Talimatlar için Ek R: Sanal Makinenize veya Ana İşletim Sisteminize VPN Yükleme bölümüne bakın.

 

[HEISENBERG]

Whonix Sanal Makineleri.

Tor kullanamıyorsanız bu adımı atlayın.

• Ana İşletim Sisteminizde Virtualbox'ı başlatın.
• Whonix dosyasını https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org] adresindeki talimatları izleyerek Virtualbox'a aktarın.
• Whonix VM'lerini başlatın

Bu aşamada, sansür veya engelleme nedeniyle Tor'a bağlanırken sorun yaşıyorsanız, https://www.whonix.org/wiki/Bridges [Archive.org] eğitiminde açıklandığı gibi Bridges kullanarak bağlanmayı düşünmeniz gerektiğini unutmayın.

• https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org] adresindeki talimatları izleyerek Whonix VM'lerini güncelleyin.
• Whonix VM'lerini Kapatma
• Virtualbox içinde güncellenmiş Whonix VM'lerinin Anlık Görüntüsünü alın (bir VM seçin ve Anlık Görüntü Al düğmesine tıklayın). Bu konuda daha sonra bilgi vereceğiz.
• Sonraki adıma geçin

Önemli Not: Bu ilkelerin çoğu bu kılavuz için de geçerli olacağından, https://www.whonix.org/wiki/DoNot [Archive.org] adresindeki buçok iyi önerileri deokumalısınız. Ayrıca buradaki genel belgeleri de okumalısınız https://www.whonix.org/wiki/Documentation [Archive.org] bu kılavuz gibi tonlarca tavsiye sağlayacaktır.