Veebipõhise anonüümsuse juhend (https://anonymousplanet.org/)

Kasutage omal vastutusel. Palun ärge võtke seda juhendit kui lõplikku tõde kõige kohta, sest see ei ole seda.
  • Sissejuhatus:
  • Mõningate põhitõdede mõistmine, kuidas mõni teave võib teid tagasi viia ja kuidas mõnda leevendada:
    • Teie võrk:
      • Teie IP-aadress:
      • Teie DNS- ja IP-päringud:
      • Teie RFID-funktsiooniga seadmed:
      • Wi-Fi- ja Bluetooth-seadmed teie ümber:
      • Pahatahtlikud / pahatahtlikud Wi-Fi-juurdepääsupunktid:
      • Teie anonüümne Tor/VPN-liiklus:
      • Mõned seadmed on jälgitavad isegi siis, kui nad on võrguühenduseta:
    • Teie riistvara tunnused:
      • Teie IMEI ja IMSI (ja seega ka teie telefoninumber):
      • Teie Wi-Fi või Ethernet MAC-aadress:
      • Teie Bluetooth MAC-aadress:
    • Teie protsessor:
    • Teie operatsioonisüsteemid ja rakenduste telemeetria*****used:
    • Teie nutiseadmed üldiselt:
    • Teie ise:
      • Teie metaandmed, sealhulgas teie geograafiline asukoht:
      • Teie digitaalne sõrmejälg, jalajälg ja võrgukäitumine:
      • Teie vihjed teie tegeliku elu ja OSINTi kohta:
      • Teie nägu, hääl, biomeetrilised andmed ja pildid:
      • Phishing ja sotsiaalne insenerlus:
    • Pahavara, ekspluateerimine ja viirused:
      • Pahavara teie failides/dokumentides/e-kirjades:
      • Pahavara ja Exploits teie rakendustes ja *****ustes:
      • Pahatahtlikud USB-seadmed:
      • Pahavara ja tagauksed teie riistvara püsivara ja operatsioonisüsteemis:
    • Teie failid, dokumendid, pildid ja videod:
      • Omadused ja metaandmed:
      • Vesimärgid:
      • Pikseldatud või hägune teave:
    • Teie krüptovaluutatehingud:
    • Teie pilvepõhised varundused/sünkroonimis*****used:
    • Teie brauseri ja seadme sõrmejäljed:
    • Kohalikud andmelekked ja kohtuekspertiis:
    • Halvad krüptograafilised andmed:
    • Ei logi, kuid logimine niikuinii poliitikad:
    • Mõned edasijõudnud sihitud tehnikad:
    • Mõned boonusressursid:
    • Märkused:
  • Üldised ettevalmistused:
    • Valik oma marsruuti:
      • Ajakasutuse piirangud:
      • Ajakava: Eelarve/materjalipiirangud:
      • Oskused:
      • Vastased (ohud):
    • Kõikide marsruutide sammud:
      • Anonüümne telefoninumber:
      • Hankige USB-mälu:
      • Leia mõni turvaline koht, kus on korralik avalik WiFi-ühendus:
    • TAILSi marsruut:
      • Whonixi kasutamine TAILSi raames: Püsiv usutav eitamine:
    • Sammud kõigi teiste marsruutide jaoks:
      • Hankige oma tundlike tegevuste jaoks spetsiaalne sülearvuti:
      • Mõned sülearvuti soovitused:
      • Bios/UEFI/Firmware seaded oma sülearvutis:
      • Füüsiliselt Tamper kaitsta oma sülearvuti:
    • Whonixi marsruut:
      • Host OS (sülearvutisse paigaldatud operatsioonisüsteem) valimine:
      • Linux Host OS:
      • MacOS Host OS:
      • Windows Host OS:
      • Virtualbox oma Host OS-is:
      • Valige oma ühenduvusmeetod:
      • Hankige anonüümne VPN/Proxy:
      • Whonix:
      • Tor over VPN:
      • Whonix Virtual Machines:
      • Valige oma külalistööjaam: Virtuaalmasin: Valige oma külalistööjaam:
      • Linux Virtual Machine (Whonix või Linux):
      • Windows 10 Virtuaalmasin: Windows 10 Virtual Machine:
      • Androidi virtuaalmasin: Androidi virtuaalmasin:
      • MacOS Virtuaalmasin:
      • KeepassXC:
      • VPN-kliendi paigaldamine (raha/Monero tasuline):
      • (Valikuline), mis võimaldab ainult VM-dele juurdepääsu internetile, samal ajal katkestades Host OS-i, et vältida lekkeid:
      • Viimane samm:
    • Qubes Route:
      • Valige oma ühenduvusmeetod:
      • Hankige anonüümne VPN/Proxy:
      • Paigaldamine:
      • Kaane sulgemise käitumine:
      • Ühendage avaliku WiFi-ühendusega:
      • Qubes OS-i uuendamine:
      • Qubes OS-i karastamine:
      • VPN ProxyVM-i seadistamine:
      • Turvalise brauseri seadistamine Qube OS-is (valikuline, kuid soovitatav):
      • Androidi VM-i seadistamine:
      • KeePassXC:
  • Anonüümsete veebitunnuste loomine:
    • Anonüümsuse vältimiseks ja identiteedi kontrollimiseks kasutatavate meetodite mõistmine:
      • Captchas:
      • Telefoni kontrollimine:
      • E-posti kontrollimine:
      • Kasutaja andmete kontrollimine:
      • Isikutunnistuse kontrollimine:
      • IP-filtrid:
      • Sirvija ja seadme sõrmejäljed:
      • Inimese suhtlemine:
      • Kasutajate modereerimine:
      • Käitumise analüüs:
      • Rahastamistehingud:
      • Sisselogimine mõne platvormiga:
      • (taas): Live Face recognition ja biomeetria:
      • Manuaalsed ülevaated:
    • Online'ile minek:
      • Uute identiteetide loomine:
      • Reaalnimede süsteem:
      • Tasulistest *****ustest:
      • Ülevaade:
      • Kuidas jagada faile või vestelda anonüümselt:
      • Dokumentide/Piltide/Videote/Audio turvaline redigeerimine:
      • Tundliku teabe edastamine erinevatele tuntud organisatsioonidele:
      • Hooldusülesanded:
  • Oma töö turvaline varundamine:
    • Varukoopiad võrguühenduseta:
      • Valitud failide varundamine:
      • Täielikud ketta-/süsteemi varukoopiad:
    • Varukoopiad: Online varukoopiad: Online varukoopiad:
      • Failid:
      • Teave:
    • Failide sünkroniseerimine seadmete vahel Online:
  • Kaitsmine: Oma jälgede katmine:
    • HDD vs SSD:
      • Wear-Leveling.
      • Trimmimisoperatsioonid:
      • Prügikoristus:
      • Kokkuvõte:
    • Kuidas pühkida turvaliselt kogu oma sülearvuti/ketaste, kui soovite kõike kustutada:
      • Linux (kõik versioonid, sealhulgas Qubes OS):
      • Windows:
      • MacOS:
    • Kuidas turvaliselt kustutada kindlad failid/kaustad/andmed oma HDD/SSD ja pöidlakettadelt:
      • Windows:
      • Linux (mitte Qubes OS):
      • Linux (Qubes OS):
      • MacOS:
    • Mõned täiendavad meetmed kohtuekspertiisi vastu:
      • Failide/dokumentide/piltide metaandmete eemaldamine:
      • TAILS:
      • Whonix:
      • MacOS:
      • Linux (Qubes OS):
      • Linux (mitte-Qubes):
      • Windows:
    • Mõningate jälgede eemaldamine teie identiteedist otsingumootorites ja erinevatel platvormidel:
      • Google:
      • Bing:
      • DuckDuckGo:
      • Yandex:
      • Qwant:
      • Yahoo Search:
      • Baidu:
      • Vikipeedia:
      • Tänapäeval: Archive.today:
      • Internet Archive:
  • Archive Archive: Mõned vanakooli madaltehnoloogilised trikid:
    • Varjatud kommunikatsioonid silmapiiril:
    • Kuidas märgata, kas keegi on sinu asju läbi otsinud:
  • Mõned viimased OPSEC-mõtted:
  • Kui te arvate, et teid on põletatud:
    • Kui teil on aega:
    • Kui teil ei ole aega:
  • Väike viimane toimetuse märkus
 
Last edited by a moderator:

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Eelarve/materjali piirangud.


  • Teil on kasutada ainult üks sülearvuti ja te ei saa endale midagi muud lubada. Kasutate seda sülearvutit kas töö, pere või oma isiklike asjade jaoks (või mõlemat):
    • Teie parim valik on valida Tails'i tee.
  • Te saate endale lubada oma tundlike tegevuste jaoks spetsiaalset, järelevalveta/kontrollita sülearvutit:
    • Kuid see on vana, aeglane ja kehvade tehniliste näitajatega (vähem kui 6 GB RAM-i, vähem kui 250 GB kettaruumi, vana/ aeglane protsessor):
      • Te peaksite valima Tails'i tee.
    • See ei ole nii vana ja tal on korralikud näitajad (vähemalt 6 GB RAM-i, 250 GB või rohkem kettaruumi, korralik protsessor):
      • Võiksite valida Tails, Whonixi marsruudi.
    • See on uus ja sellel on suurepärased näitajad (üle 8GB RAM-i, >250GB kettaruumi, hiljutine kiire protsessor):
      • Võite valida mis tahes marsruuti, kuid ma soovitaksin Qubes OS-i, kui teie ohumudel seda võimaldab.
    • Kui tegemist on ARM-põhise M1 Maciga:
      • Neil põhjustel ei ole praegu võimalik:
        • ARM M1 Macile x86-piltide virtualiseerimine on endiselt piiratud kaubandusliku tarkvaraga (Parallels), mida Whonix veel ei toeta.
        • Virtualbox ei ole ARM-arhitektuurile veel saadaval.
        • Whonix ei toeta veel ARM-arhitektuuri.
        • Tails ei ole ARM-arhitektuuril veel toetatud.
        • Qubes OS ei ole ARM-arhitektuuril veel toetatud.

Teie ainus võimalus M1 Macidel on ilmselt esialgu jääda Tor Browses'i juurde. Aga ma arvan, et kui sa saad endale M1 Mac'i lubada, siis peaksid ilmselt hankima spetsiaalse x86 sülearvuti tundlikumate tegevuste jaoks.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Oskused.


  • Teil ei ole üldse IT-oskusi selle juhendi sisu tundub teile nagu võõras keel?
    • Te peaksite minema Tails'i teed (välja arvatud püsiva usutava eitatavuse osa).
  • Teil on mõningaid IT-oskusi ja te saate sellest juhendist seni enamasti aru.
    • Te peaksite valima Tails- (sealhulgas püsiva usutava eitatavuse osa) või Whonixi marsruudid (sealhulgas püsiva usutava eitatavuse osa).
  • Teil on mõõdukad või kõrged IT-oskused ja te olete juba kursis käesoleva juhendi mõningase sisuga.
    • Sa võid minna ükskõik millega, kuid ma soovitaksin tungivalt Qubes OS-i.
  • Sa oled l33T häkker, "lusikat ei ole", "kook on vale", sa oled aastaid kasutanud "doas" ja "kõik sinu baas kuulub meile" ning sul on tugevad arvamused systemd kohta.
    • See juhend ei ole tegelikult sulle mõeldud ja ei aita sind HardenedBSDga sinu karastatud Libreboot sülearvutis ;-)

 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Vastased (ohud).


  • Kui teie peamine mure on teie seadmete kohtuekspertiis:
    • Te peaksite kasutama Tails'i marsruuti (koos vabatahtliku püsiva usutava eitamise võimalusega).
  • Kui teie peamiseks mureks on eemalviibivad vastased, kes võivad paljastada teie veebiidentiteedi erinevatel platvormidel:
    • Võiksite valida Whonixi või Qubes OSi marsruudi.
    • Võiksite valida ka Tailsi (valikulise püsiva usutava eitatavusega).
  • Kui te tahate riskidest hoolimata kindlasti kogu süsteemi hõlmavat usutavat eitamisvõimet:
    • Võite valida Tailsi marsruudi, mis sisaldab ka püsivat usutavat eitamisvõimalust.
    • Sa võid kasutada Whonixi marsruuti (ainult Windows Host OS-i puhul käesoleva juhendi raames).
  • Kui olete vaenulikus keskkonnas, kus Tor/VPN-i kasutamine üksi on võimatu/ohtlik/vastuoluline:
    • Sa võid minna Tails'i marsruudiga (ilma Tor'i kasutamata).
    • Sa võid kasutada Whonixi või Qubes OS-i marsruuti (ilma Whonixi kasutamata).

Igal juhul peaksite lugema neid kahte lehekülge Whonixi dokumentatsioonist, mis annavad teile põhjaliku ülevaate teie valikutest:



Te võite endalt küsida: "Kuidas ma tean, kas ma olen vaenulikus veebikeskkonnas, kus tegevust aktiivselt jälgitakse ja blokeeritakse?".


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Kõikide marsruutide sammud.


Harjutage paremate paroolide kasutamist.


Vt lisa A2: suunised paroolide ja paroolifraaside kohta.


Hankige anonüümne telefoninumber.


Jätke see samm vahele, kui te ei kavatse luua anonüümseid kontosid enamikul tavaplatvormidel, vaid soovite lihtsalt anonüümset sirvimist, või kui platvormid, mida hakkate kasutama, lubavad registreerimist ilma telefoninumbrita.


Füüsiline põletustelefon ja ettemakstud SIM-kaart.


Hankige põletustelefon.


See on üsna lihtne. Jätke oma nutitelefon enne lahkumist välja lülitatud või lülitage see välja. Võtke kaasa veidi sularaha ja minge mõnele juhuslikule kirbuturule või väikesesse poodi (ideaalis sellesse, kus ei ole sees ega väljas videovalve ja kus ei tohi olla pildistatud/filmitud) ning ostke lihtsalt odavaim telefon, mille saate leida, sularahas ja ilma isiklikke andmeid esitamata. See peab olema ainult töökorras.


Mina isiklikult soovitaksin hankida vana "dumbphone", millel on eemaldatav aku (vana Nokia, kui teie mobiilsidevõrgud lubavad neid veel ühendada, sest mõnedes riikides on 1G-2G täielikult välja lülitatud). Seda selleks, et vältida telefonis endas igasuguse telemeetria/diagnostika andmete automaatset saatmist/kogumist. Te ei tohiks seda telefoni kunagi ühendada ühegi Wi-Fiühendusega.


Samuti on väga oluline, et te ei lülitaks seda põletustelefoni kunagi (isegi mitte ilma SIM-kaardita) sisse üheski geograafilises kohas, mis võiks teid tuvastada (näiteks kodus/tööl), ja mitte kunagi samas kohas, kus on teie teine teadaolev nutitelefon (sest sellel on IMEI/IMSI, mis võib kergesti teid tuvastada). See võib tunduda suur koormus, kuid seda see ei ole, sest neid telefone kasutatakse ainult seadistamise/allkirjastamise ajal ja aeg-ajalt kontrollimiseks.


Vt lisa N: Hoiatus nutitelefonide ja nutiseadmete kohta


Enne järgmise sammu tegemist peaksite testima, et telefon on töökorras. Kuid ma kordan ennast ja ütlen veel kord, et on oluline, et jätaksite nutitelefoni koju, kui lähete (või lülitage see enne lahkumist välja, kui peate seda hoidma), ja et testiksite telefoni juhuslikus kohas, mida ei saa jälgida (ja veel kord, ärge tehke seda videovalvurite ees, vältige kaameraid, olge teadlik oma ümbrusest). Ka Wi-Fi pole selles kohas vaja.


Kui olete kindel, et telefon on töökorras, lülitage Bluetooth välja, lülitage see välja (eemaldage aku, kui saate) ja minge koju tagasi ning jätkake oma tavapärast tegevust. Minge järgmise sammu juurde.


Hankige anonüümne ettemakstud SIM-kaart.


See on kogu juhendi kõige raskem osa. See on SPOF (Single Point of Failure). Kohad, kus saab endiselt osta ettemakstud SIM-kaarte ilma ID-registreerimiseta, muutuvad erinevate KYC-tüüpi regulatsioonide tõttu üha piiratumaks.


Nii et siin on nimekiri kohtadest, kust neid praegu veel saab: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org]


Peaksite leidma koha, mis ei ole "liiga kaugel" ja lihtsalt füüsiliselt sinna minema, et osta mõned ettemaksukaardid ja sularahaga laadimisvutšerid. Veenduge, et enne minekut ei ole vastu võetud seadust, mis muudaks registreerimise kohustuslikuks (juhul kui ülaltoodud wiki ei ole uuendatud). Püüdke vältida videovalveid ja kaameraid ning ärge unustage osta SIM-kaardiga koos Top Up voucher (kui tegemist ei ole paketiga), sest enamik pre-paid-kaarte nõuab enne kasutamist täiendamist.


Vt lisa N: hoiatus nutitelefonide ja nutiseadmete kohta


Kontrollige enne sinna minekut kaks korda, kas ettemakstud SIM-kaarte müüvad mobiilsideoperaatorid aktsepteerivad SIM-kaardi aktiveerimist ja laadimist ilma igasuguse isikut tõendava dokumendi registreerimiseta. Ideaaljuhul peaksid nad aktsepteerima SIM-kaardi aktiveerimist ja laadimist teie elukohariigis.


Mina isiklikult soovitaksin Ühendkuningriigis GiffGaffi, kuna nad on "taskukohased", ei nõua aktiveerimiseks ja laadimiseks isikut tõendavat dokumenti ning lubavad teil isegi kuni 2 korda oma numbrit oma veebisaidilt muuta. Üks GiffGaffi ettemakstud SIM-kaart annab teile seega 3 numbrit, mida saate kasutada oma vajaduste rahuldamiseks.


Lülitage telefon pärast aktiveerimist/laadimist ja enne koju minekut välja. Ärge lülitage seda kunagi uuesti sisse, kui te ei ole kohas, mida saab kasutada teie identiteedi paljastamiseks, ja kui teie nutitelefon ei ole enne sellesse "mitte koju" minekut välja lülitatud.


Online-telefoninumber (vähem soovitatav).


KINDLUSTUS: Ärge proovige seda enne, kui olete lõpetanud turvalise keskkonna seadistamise vastavalt ühele valitud marsruudile. See samm eeldab juurdepääsu internetile ja seda tuleks teha ainult anonüümsest võrgust. Ärge tehke seda teadaolevast/kaitsmata keskkonnast. Jätke see vahele, kuni olete lõpetanud ühe marsruudi.


On palju kaubanduslikke *****useid, mis pakuvad numbreid SMS-sõnumite vastuvõtmiseks internetis, kuid enamikul neist ei ole põhimõtteliselt anonüümsust/privaatsust ja neist ei saa olla abi, kuna enamik sotsiaalmeediaplatvorme seab piirangu, kui mitu korda saab telefoninumbrit registreerimiseks kasutada.


On mõned foorumid ja subreddits (nagu r/phoneverification/), kus kasutajad pakuvad teile väikese tasu eest (kasutades PayPali või mõnda krüptomakset) selliste SMS-sõnumite vastuvõtmise *****ust. Kahjuks on need täis pettureid ja anonüümsuse mõttes väga riskantsed. Te ei tohiks neid mingil juhul kasutada.


Praeguseks ei tea ma ühtegi usaldusväärset *****ust, mis pakuks seda *****ust ja võtaks vastu sularahamaksed (näiteks posti teel), nagu mõned VPN-*****use pakkujad. Kuid on mõned *****used, mis pakuvad online-telefoninumbreid ja aktsepteerivad Monero, mis võiks olla mõistlikult anonüümne (kuid vähem soovitatav kui see füüsiline viis eelmises peatükis), mida võiksite kaaluda:



Siin on loetletud veel mõned võimalused https://cryptwerk.com/companies/sms/xmr/ [Archive.org]. Kasutage omal vastutusel.


DISCLAIMER: Ma ei saa garanteerida ühtegi neist pakkujatest ja seetõttu soovitan ikkagi füüsiliselt ise teha. Sellisel juhul peate toetuma Monero anonüümsusele ja te ei tohiks kasutada ühtegi *****ust, mis nõuab mingisugust identifitseerimist oma tegeliku identiteedi abil. Palun lugege seda Monero vastutusest loobumist.



Seetõttu on IMHO ilmselt lihtsalt mugavam, odavam ja vähem riskantne saada lihtsalt ettemakstud SIM-kaart ühest füüsilisest kohast, kes müüb neid ikka veel sularaha eest, ilma et see nõuaks isikut tõendavat registreerimist. Aga vähemalt on olemas alternatiiv, kui teil ei ole muud võimalust.


Hankige USB-võtme.


Hankige vähemalt üks või kaks korraliku suurusega üldist USB-klahvi (vähemalt 16 GB, kuid ma soovitaksin 32 GB).


Palun ärge ostke ega kasutage selliseid kavalamaid isekrüpteerivaid seadmeid nagu need: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Mõned neist võivad olla väga tõhusad, kuid paljud on kavalad vidinad, mis ei paku mingit tõelist kaitset.


Leidke mõni turvaline koht, kus on korralik avalik WiFi-ühendus.


Peate leidma turvalisi kohti, kus saate teha oma tundlikke tegevusi, kasutades mõnda avalikult ligipääsetavat Wi-Fi-d (ilma konto/tunnuse registreerimiseta, vältides turvakaameraid).


See võib olla koht, mis ei ole teiega otseselt seotud (teie kodu/töökoht) ja kus te saate mõnda aega kasutada Wi-Fit ilma, et teid häiriksid. Aga ka koht, kus saate seda teha ilma, et teid keegi "märkaks".


Kui te arvate, et Starbucks on hea mõte, siis võite veelkord järele mõelda:


  • Tõenäoliselt on neil kõigis oma kauplustes valvekaamerad ja nad säilitavad neid salvestusi teadmata ajaks.
  • Enamikus tuleb teil osta kohv, et saada Wi-Fi-juurdepääsukood. Kui maksate selle kohvi eest elektroonilise meetodiga, saavad nad siduda teie Wi-Fi-juurdepääsu teie identiteediga.

Olukorrateadlikkus on võti ja te peaksite olema pidevalt teadlik oma ümbrusest ja vältida turismikohti, nagu oleks see Ebola nakatunud. Sa tahad vältida, et sa ilmuksid kellegi pildile/videole, kui keegi teeb selfie't, teeb TikTok-videot või postitab oma Instagrami mõne reisipildi. Kui te seda teete, siis pidage meeles, et on suur tõenäosus, et need pildid satuvad internetti (avalikult või privaatselt) koos nendega seotud täielike metaandmetega (aeg/kuupäev/paiknemine) ja teie näoga. Pidage meeles, et neid võivad indekseerida ja indekseerivad Facebook/Google/Yandex/Apple ja tõenäoliselt kõik 3 kirju agentuurid.


Kuigi see ei ole veel teie kohalikele politseiametnikele kättesaadav, võib see olla lähitulevikus.


Ideaalis on teil vaja 3-5 erinevat sellist kohta, et vältida sama koha kahekordset kasutamist. Selle juhendi erinevate sammude jaoks on nädala jooksul vaja teha mitu reisi.


Samuti võiksite kaaluda nende kohtadega ühendamist turvalisest kaugusest, et suurendada turvalisust. Vt lisa Q: Pikaulatusliku antenni kasutamine avaliku Wi-Fi-ühendusega ühendamiseks turvalisest kaugusest.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Tails route.


See osa juhendist aitab teil Tails'i seadistamisel, kui üks järgmistest asjaoludest on tõene:


  • Te ei saa endale lubada spetsiaalset sülearvutit
  • Teie spetsiaalne sülearvuti on lihtsalt liiga vana ja liiga aeglane.
  • teil on väga madalad IT-oskused
  • Te otsustate ikkagi kasutada Tails'i

Tails tähistab Amnesic Incognito Live System. See on USB-mäluseadmelt käivitatav live-operatsioonisüsteem, mis on loodud selleks, et mitte jätta jälgi ja sundida kõik ühendused Tor-võrgu kaudu.


Sisestate Tails USB-mäluseadme oma sülearvutisse, käivitate selle ja teil on täielik operatsioonisüsteem, mis töötab privaatsuse ja anonüümsusega. Niipea kui sa arvuti välja lülitad, on kõik kadunud, kui sa seda kuhugi ei salvesta.


Tails on väga lihtne viis, et saada kiiresti käima sellega, mis teil on, ja ilma suurema õppimiseta. Sellel on ulatuslik dokumentatsioon ja õpetused.


HOIATUS: Tails ei ole alati ajakohane oma komplekteeritud tarkvaraga. Ja ei ole alati ajakohane ka Tor Brauseri uuendustega. Te peaksite alati veenduma, et kasutate Tails'i uusimat versiooni ja te peaksite olema äärmiselt ettevaatlik, kui kasutate Tails'is pakendatud rakendusi, mis võivad olla haavatavad ekspluateerimise suhtes ja avaldada teieasukoha265.


Sellel on siiski mõned puudused:


  • Tails kasutab Tor'i ja seetõttu kasutate te Tor'i, et pääseda ligi kõikidele internetiressurssidele. Juba ainuüksi see muudab teid kahtlaseks enamiku platvormide puhul, kus soovite luua anonüümseid kontosid (seda selgitatakse hiljem lähemalt).
  • Teie Interneti-*****usepakkuja (kas siis teie või mõni avalik Wi-Fi) näeb samuti, et te kasutate Tor'i ja see võib teid juba iseenesest kahtlaseks muuta.
  • Tails ei sisalda (algupäraselt) mõningaid tarkvarasid, mida te võiksite hiljem kasutada, mis teeb asjad üsna keeruliseks, kui soovite käivitada mõningaid spetsiifilisi asju (näiteks Androidi emulaatorid).
  • Tails kasutab Tor Browser'i, mis on küll väga turvaline, kuid mida tuvastab ka enamik platvorme ja mis takistab teid anonüümsete identiteetide loomisel paljudel platvormidel.
  • Tails ei kaitse teid rohkem 5$ wrench8 eest.
  • Tor iseenesest ei pruugi olla piisav, et kaitsta teid piisavate ressurssidega vastase eest, nagu eelnevalt selgitatud.

Oluline märkus: Kui teie sülearvutit jälgitakse/järelevalvetatakse ja on kehtestatud mõned kohalikud piirangud, lugege palun lisa U: Kuidas mööda minna (mõnest) kohalikust piirangust järelevalve all olevates arvutites.


Samuti peaksite enne edasi minekut lugema Tails dokumentatsiooni, hoiatusi ja piiranguid https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org].


Võttes seda kõike arvesse ja seda, et nende dokumentatsioon on suurepärane, suunan teid lihtsalt nende hästi tehtud ja hooldatud õpetuse poole:


https://tails.boum.org/install/index.en.html [Archive.org], valige oma maitse ja jätkake.


Kui olete lõpetanud ja teil on sülearvutis toimiv Tails, minge selle juhendi palju kaugemal asuva anonüümse online identiteedi loomise sammu juurde.


Kui teil on tsensuuri või muude probleemide tõttu probleeme Torile juurdepääsuga, võite proovida kasutada Tor Bridges'i, järgides seda Tails'i õpetust: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] ja leida lisateavet nende kohta Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org].


Kui te arvate, et ainult Tori kasutamine on ohtlik/kahtlane, vaadake lisa P: Võimalikult turvaline juurdepääs internetile, kui Tor/VPN ei ole võimalik.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Püsiv usutav eitatavus, kasutades Whonixi sees Tails.


Kaaluge võimalust kontrollida Tails'i projekti https://github.com/aforensics/HiddenVM [Archive.org].


See projekt on nutikas idee ühe klõpsuga iseseisva VM-lahenduse kohta, mida saaksite salvestada krüpteeritud kettale, kasutades usutavat eitatavust256 (vt Whonixi marsruut: esimesed peatükid ja ka mõned selgitused usutava eitatavuse kohta, samuti Kuidas turvaliselt kustutada konkreetseid faile/kaustasid/andmeid oma HDD/SSD- ja pöidlakettal: jaotis käesoleva juhendi lõpus, et saada rohkem aru).


See võimaldaks luua hübriidsüsteemi, mis segab Tails'i ja selles juhendis toodud Whonixi marsruudi virtualiseerimisvõimalusi.
2021 08 04 17 12


Märkus: Vaadake jaotist Valige oma ühenduvusmeetod Whonixi marsruudis, et saada rohkem selgitusi Stream Isolationi kohta.


Lühidalt:


  • Te võite käivitada mittepüsivat Tails'i ühelt USB-klahvilt (järgides nende soovitusi)
  • Sa võiksid salvestada püsivad VM-d sekundaarses sisemuses, mis võiks olla krüpteeritud normaalselt või kasutades Veracrypti usutava eitamise funktsiooni (need võiksid olla näiteks Whonix VM-d või mis tahes muud).
  • Te saate kasu lisatud Tor Stream Isolation funktsioonist (vt Tor over VPN rohkem infot stream isolatsiooni kohta).

Sellisel juhul, nagu projektis on kirjeldatud, ei tohiks teie arvutis olla mingeid jälgi teie tegevusest ja tundlikku tööd võiks teha VM-dest, mis on salvestatud Hidden konteinerisse, mis ei tohiks olla pehme vastase poolt kergesti avastatav.


See võimalus on eriti huvitav "kergete reiside" tegemiseks ja kohtuekspertiisi rünnakute leevendamiseks, säilitades samal ajal oma töö püsivuse. Vaja on vaid 2 USB-mälu (üks Tailsiga ja üks Veracrypt-konteineriga, mis sisaldab püsivat Whonixi). Esimene USB-klahv näib sisaldavat ainult Tails'i ja teine USB-klahv näib sisaldavat ainult juhuslikku prügi, kuid sellel on peibutusmaht, mida saate näidata usutava eitamise eesmärgil.


Te võite ka küsida, kas selle tulemuseks on "Tor over Tor" seadistus, kuid see ei ole nii. Whonix VM-d pääsevad võrku otse läbi clearneti ja mitte läbi Tails Onion Routing'i.


Tulevikus võib seda toetada ka Whonixi projekt ise, nagu on selgitatud siin: https://www.whonix.org/wiki/Whonix-Host [Archive.org], kuid see ei ole praegu veel lõppkasutajatele soovitatav.


Pidage meeles, et krüpteerimine koos või ilma usutava salastatavusega ei ole hõbepall ja sellest on piinamise korral vähe kasu. Õigupoolest, sõltuvalt sellest, kes teie vastane oleks (teie ohumudel), võib olla mõistlik mitte kasutada Veracrypti (endine TrueCrypt) üldse, nagu on näidatud sellel demonstratsioonil: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Usutav eitamine on efektiivne ainult pehmete seaduskuulekate vastaste vastu, kes ei kasuta füüsilisi vahendeid.


Vt https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
[Wikiless] [Archive.org].


ETTEVAATUST: Kui kaalute selliste varjatud VMide salvestamist välisel SSD-kettal, vaadake lisa K: kaalutlused väliste SSD-ketaste kasutamiseks ja jaotisi HDD vs. SSD mõistmine:


  • Ärge kasutage SSD-ketastel varjatud mahtusid, kuna Veracrypt ei toeta/soovita seda.
  • Kasutage krüpteeritud mahtude asemel hoopis failikonteinereid.
  • Veenduge, et te teate, kuidas andmeid väliselt SSD-kettalt korralikult puhastada.

Siin on minu juhend selle kohta, kuidas seda saavutada:


Esimene käivitamine.


  • https://github.com/aforensics/HiddenVM/releases [Archive.org].
  • Laadige alla uusim Whonix XFCE versioon aadressilt https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org].
  • Valmistage USB-võti/ketas ette Veracryptiga
    • Loo USB-kettale/võtmekandjale varjatud köide (soovitan, et varjatud köide oleks vähemalt 16 GB).
    • Asetage välise mahu sisse mõned peibutusfailid
    • Asetage HiddenVM-i rakenduste faili HiddenVM-i rakenduste faili peidetud köites.
    • Asetage peidetud köitesse Whonix XFCE ova-faili
  • Käivitage Tails'ile
  • Seadistage klaviatuuri paigutus nii nagu soovite.
  • Valige Additional Settings ja määrake administraatori (root) parool (vajalik HiddenVM-i paigaldamiseks)
  • Käivitage Tails
  • Ühendage turvaline wi-fi (see on vajalik samm, et kõik ülejäänud toimiksid)
  • Mine Utilities ja Ava oma Veracrypt (peidetud) Volume (ära unusta kontrollida hidden volume checkbox)
  • Käivitage HiddenVM appimage
  • Kui teil palutakse valida kaust, valige Root of the Hidden volume (kus asuvad Whonix OVA ja HiddenVM app image failid).
  • Laske tal teha oma tööd (See põhimõtteliselt installib Virtualboxi Tailsis ühe klõpsuga)
  • Kui see on tehtud, peaks see automaatselt käivitama Virtualbox Manager'i.
  • Impordige Whonix OVA failid (vt Whonix Virtual Machines:)

Pange tähele, et kui importimise ajal tekivad probleemid nagu "NS_ERROR_INVALID_ARG (0x80070057)", siis on see tõenäoliselt tingitud sellest, et teie Hidden volume'il ei ole piisavalt kettaruumi Whonixi jaoks. Whonix ise soovitab 32 GB vaba ruumi, kuid see pole ilmselt vajalik ja 10 GB peaks alustuseks olema piisav. Te võite proovida seda viga vältida, nimetades Whonixi *.OVA faili ümber *.TAR-ks ja dekompressides selle Tailsis. Kui olete dekompressiooniga valmis, kustutage OVA-faili ja importige teised failid importimisviisardiga. Seekord võib see toimida.


Järgnevad käivitused.


  • Käivitage Tails
  • Ühendage Wi-Fi
  • Avage oma varjatud helitugevus
  • Käivitage rakendus HiddenVM
  • See peaks automaatselt avama VirtualBoxi halduri ja näitama teie eelmise VM-i esimesest käivitamisest alates
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Kõigi teiste marsruutide sammud.


Hankige oma tundlike tegevuste jaoks spetsiaalne sülearvuti.


Ideaalis peaksite hankima spetsiaalse sülearvuti, mis ei ole teiega kuidagi lihtsalt seotud (ideaaljuhul tasub sularahaga anonüümselt ja kasutades samu ettevaatusabinõusid, mida eelnevalt mainiti telefoni ja SIM-kaardi puhul). See on soovitatav, kuid mitte kohustuslik, sest see juhend aitab teil oma sülearvutit võimalikult palju karastada, et vältida andmete lekkimist erinevate vahendite kaudu. Teie veebiidentiteedi ja teie enda vahel seisab mitu kaitseliini, mis peaks takistama enamiku vastaste anonüümsuse kaotamist, välja arvatud märkimisväärsete ressurssidega riiklikud/maailmameelsed osalejad.


See sülearvuti peaks ideaalis olema puhas värskelt paigaldatud sülearvuti (töötab Windows, Linux või MacOS), puhas teie tavalisest igapäevasest tegevusest ja võrguühenduseta (pole veel kunagi võrku ühendatud). Windowsi sülearvuti puhul ja kui te kasutasite seda enne sellist puhast installeerimist, ei tohiks see olla ka aktiveeritud (uuesti installeeritud ilma tootevõtmevahenditeta). Eriti MacBookide puhul ei tohiks ta enne seda mingil viisil sinu identiteediga seotud olla. Nii et osta kasutatud sularahaga tundmatult võõral inimeselt, kes ei tea sinu identiteeti


See on mõeldud selleks, et leevendada mõningaid tulevikuprobleeme, juhul kui internetis lekib (sealhulgas telemeetria teie operatsioonisüsteemist või rakendustest), mis võivad selle kasutamise ajal ohustada sülearvuti mis tahes unikaalseid identifikaatoreid (MAC-aadress, Bluetooth-aadress ja tootevõti ...). Aga ka selleks, et vältida jälgimist, kui teil on vaja sülearvuti ära visata.


Kui te kasutasite seda sülearvutit varem erinevatel eesmärkidel (näiteks oma igapäevategevustes), on kõik selle riistvara tunnused tõenäoliselt teada ja registreeritud Microsofti või Apple'i poolt. Kui hiljem mõni neist identifikaatoritest satub ohtu (pahavara, telemetria, ekspluateerimine, inimlikud vead ...), võivad need viia tagasi teie juurde.


Sülearvutil peaks olema vähemalt 250 GB kettaruumi, vähemalt 6 GB (ideaalis 8 GB või 16 GB) RAM-i ja ta peaks suutma käivitada korraga paar virtuaalset masinat. Sellel peaks olema töötav aku, mis kestab paar tundi.


Sülearvutil võiks olla kõvaketas (7200rpm) või SSD/NVMe-ketas. Mõlemal võimalusel on omad eelised ja probleemid, mida kirjeldatakse hiljem üksikasjalikult.


Kõik edasised selle sülearvutiga tehtavad veebitoimingud tuleks ideaaljuhul teha turvalisest võrgust, näiteks turvalises kohas asuvast avalikust Wi-Fi-võrgust (vt Leia mõned turvalised kohad, kus on korralikud avalikud Wi-Fi-võrgud). Kuid mitmed sammud tuleb esmalt teha offline.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Mõned sülearvuti soovitused.


Kui saate seda endale lubada, võiksite kaaluda Purism Librem sülearvuti(https://puri.sm [Archive.org]) või System76 sülearvuti(https://system76.com/ [Archive.org]) hankimist, kasutades samal ajal Corebooti (kus Intel IME on tehasest välja lülitatud).


Muudel juhtudel soovitaksin tungivalt hankida Business grade sülearvutid (st mitte consumer/gaming grade sülearvutid), kui saate. Näiteks mõni ThinkPad Lenovolt (minu isiklik lemmik). Siin on nimekirjad sülearvutitest, mis toetavad praegu Librebooti ja teisi, kus saab ise Corebooti flashida (mis võimaldab sul Intel IME või AMD PSP välja lülitada):



Seda seetõttu, et need äriklassi sülearvutid pakuvad tavaliselt paremaid ja paremini kohandatavaid turvafunktsioone (eriti BIOS/UEFI seadetes), millel on pikem tugi kui enamikul tarbe-läpparvutitel (Asus, MSI, Gigabyte, Acer...). Huvitavad funktsioonid, mida otsida, on IMHO:


  • Paremad kohandatud Secure Boot seaded (kus saab valikuliselt hallata kõiki võtmeid ja mitte ainult kasutada standardseid).
  • HDD/SSD paroolid lisaks ainult BIOS/UEFI paroolidele.
  • AMD sülearvutid võiksid olla huvitavamad, kuna mõned pakuvad võimalust lülitada AMD PSP (AMD vaste Intel IME-le) BIOS/UEFI seadetest vaikimisi välja. Ja kuna AFAIK on AMD PSP auditeeritud ja vastupidiselt IME-le ei leitud, et sellel oleks mingeid "kurja" funktsioone. Samas, kui sa Qubes OS Route'ile lähed, siis kaalu Inteli, kuna nad ei toeta AMD oma pahalaste-vastase süsteemiga.
  • Secure Wipe tööriistad BIOSist (eriti kasulikud SSD/NVMe ketaste puhul, vt lisa M: BIOS/UEFI võimalused ketaste pühkimiseks erinevates brändides).
  • Parem kontroll valitud välisseadmete (USB-pordid, Wi-Fi, Bluetooth, kaamera, mikrofon ...) väljalülitamise/väljalülitamise üle.
  • Paremad turvaelemendid koos virtualiseerimisega.
  • Native võltsimisvastane kaitse.
  • Pikem tugi BIOS/UEFI uuendustega (ja hilisemad BIOS/UEFI turvavärskendused).
  • Mõned on toetatud Librebooti poolt
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Bios/UEFI/Firmware seaded oma sülearvutis.


PC.


Nendesse seadistustesse pääseb sülearvuti käivitamismenüüst. Siin on hea õpetus HP-lt, mis selgitab kõiki viise, kuidas eri arvutite BIOSile ligi pääseda: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org]


Tavaliselt on ligipääsemiseks vaja käivitamisel (enne operatsioonisüsteemi) vajutada kindlat klahvi (F1, F2 või Del).


Kui sa oled sinna sisenenud, pead sa rakendama mõned soovitatavad seaded:


  • Lülita Bluetooth täielikult välja, kui saad.
  • Lülita biomeetria (sõrmejäljelugejad) välja, kui sul on neid olemas, kui saad. Siiski võiksite lisada biomeetrilise lisakontrolli ainult käivitamiseks (enne käivitamist), kuid mitte BIOS/UEFI seadetele juurdepääsuks.
  • Lülitage veebikaamera ja mikrofon välja, kui saate.
  • Võta BIOS/UEFI parool sisse ja kasuta parooli asemel pikka parooli (kui saad) ning veendu, et see parool on nõutav:
    • BIOS/UEFI seadetele ise juurde pääsemiseks
    • Käivitusjärjekorra muutmine
    • Seadme käivitamine/ sisselülitamine
  • HDD/SSD parooli lubamine, kui see funktsioon on saadaval. See funktsioon lisab HDD/SSD-le endale (mitte BIOS/UEFI püsivara) teise parooli, mis takistab selle HDD/SSD kasutamist teises arvutis ilma paroolita. Pange tähele, et see funktsioon on samuti mõnedele tootjatele omane ja võib nõuda spetsiaalset tarkvara, et avada see ketas täiesti teises arvutis.
  • Vältige võimaluse korral juurdepääsu alglaadimisvalikutele (alglaadimisjärjekorrale) ilma BIOS/UEFI parooli andmata.
  • Lülitage USB/HDMI või mõni muu port (Ethernet, Firewire, SD-kaart ...) välja, kui saate.
  • Lülitage Intel ME välja, kui saate.
  • Lülitage AMD PSP välja, kui saate (AMD vaste IME-le, vt " Teie protsessor").
  • Lülitage Secure Boot välja, kui te kavatsete kasutada QubesOS-i, kuna nad ei toeta seda algselt. Hoidke see sisse, kui kavatsete kasutada Linuxi/Windows'i.
  • Kontrollige, kas teie sülearvuti BIOSis on olemas turvalise kustutamise võimalus teie kõvaketta/SSD jaoks, mis võiks vajaduse korral olla mugav.

Lubage need ainult "vajaduse korral" ja lülitage need pärast kasutamist uuesti välja. See võib aidata leevendada mõningaid rünnakuid juhul, kui teie sülearvuti võetakse kinni, kui see on lukustatud, kuid veel sisse lülitatud VÕI kui te pidite selle üsna kiiresti välja lülitama ja keegi võttis selle enda valdusesse (seda teemat selgitatakse hiljem selles juhendis).


Turvalise alglaadimise kohta.


Lühidalt öeldes on see UEFI turvafunktsioon, mis on loodud selleks, et teie arvuti ei saaks käivitada operatsioonisüsteemi, mille alglaadija ei ole allkirjastatud teie sülearvuti UEFI püsivara spetsiifiliste võtmete abil.


Põhimõtteliselt, kui operatsioonisüsteemid (või bootloader) toetavad seda, saate oma UEFI firmware'isse salvestada oma bootloaderi võtmed ja see takistab mis tahes volitamata operatsioonisüsteemi (näiteks live OS USB või midagi sarnast) käivitamist.


Secure Boot seaded on kaitstud parooliga, mille määrate BIOS/UEFI seadetele juurdepääsuks. Kui teil on see parool olemas, saate Secure Boot'i välja lülitada ja lubada allkirjastamata operatsioonisüsteemidel oma süsteemi käivitada. See võib aidata leevendada mõningaid Evil-Maid rünnakuid (mida selgitatakse hiljem selles juhendis).


Enamikul juhtudel on Secure Boot vaikimisi välja lülitatud või on lubatud, kuid "setup" režiimis, mis lubab käivitada mis tahes süsteemi. Selleks, et Secure Boot toimiks, peab teie operatsioonisüsteem seda toetama ja seejärel allkirjastama oma alglaaduri ning edastama need allkirjastamisvõtmed teie UEFI-firmware'ile. Pärast seda peate te minema oma BIOSi/UEFI seadistustesse ja salvestama need OSi poolt edastatud võtmed ning muutma Secure Boot'i seadistusrežiimilt kasutajarežiimile (või mõnel juhul kohandatud režiimile).


Pärast selle sammu tegemist saavad käivitada ainult need operatsioonisüsteemid, millest teie UEFI püsivara suudab kontrollida alglaaduri terviklikkust.


Enamikul sülearvutitel on mõned vaikimisi võtmed juba salvestatud turvalise alglaadimise seadetesse. Tavaliselt on need pärit tootjalt endalt või mõnelt ettevõttelt, näiteks Microsoftilt. Seega tähendab see, et vaikimisi on alati võimalik käivitada mõningaid USB-kettaid ka turvalise alglaadimisega. Nende hulka kuuluvad Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla ja paljud teised. Secure Boot ei toeta aga QubesOS hetkel üldse.


Mõnes sülearvutis saab neid võtmeid hallata ja eemaldada need, mida sa ei soovi, "kohandatud režiimiga", et lubada ainult oma bootloaderit, mida sa võiksid ise allkirjastada, kui sa seda tõesti tahad.


Mille eest siis Secure Boot sind kaitseb? See kaitseb teie sülearvutit (operatsioonisüsteemi pakkuja poolt) allkirjastamata alglaadijate käivitamise eest, kuhu on näiteks sisestatud pahavara.


Mille eest Secure Boot teid ei kaitse?


  • Secure Boot ei krüpteeri teie ketast ja vastane võib ikkagi lihtsalt eemaldada ketta teie sülearvutist ja hankida sealt andmeid, kasutades selleks teist masinat. Secure Boot on seega kasutu ilma ketta täieliku krüpteerimiseta.
  • Secure Boot ei kaitse teid allkirjastatud alglaaduri eest, mis on kompromiteeritud ja mille on allkirjastanud tootja ise (Windowsi puhul näiteks Microsoft). Enamik mainstream Linuxi distributsioone on tänapäeval allkirjastatud ja käivituvad Secure Boot'i sisselülitusega.
  • Secure Bootil võib olla vigu ja ärakasutamisvõimalusi nagu igas teises süsteemis. Kui kasutate vana sülearvutit, mis ei saa kasu uutest BIOS/UEFI uuendustest, võib need jääda parandamata.

Lisaks sellele on olemas mitmeid rünnakuid, mis võivad olla võimalikud Secure Boot'i vastu, nagu on (põhjalikult) selgitatud nendes tehnilistes videotes:



Seega võib see olla kasulik lisameetmena mõne vastase vastu, kuid mitte kõigi vastu. Secure Boot iseenesest ei krüpteeri teie kõvaketast. See on lisakiht, aga see ongi kõik.


Ma soovitan seda ikkagi sisse lülitada, kui saad.



Mac.


Võtke hetkeks firmware parooli seadmiseks vastavalt siinsele õpetusele: https://support.apple.com/en-au/HT204455 [Archive.org]


Samuti peaksite aktiveerima firmware password reset protection (saadaval Catalina's) vastavalt dokumentatsioonile siin: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


See funktsioon vähendab mõnede vastaste võimalust kasutada riistvarahäkke, et teie püsivara parool välja lülitada/ümberlülitada. Pange tähele, et see takistab ka Apple'il endal ligipääsu püsivara parandamise korral.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Füüsiliselt kaitske oma sülearvutit.


Mingil hetkel jätate selle sülearvuti paratamatult kuhugi üksi. Te ei maga sellega koos ja ei võta seda iga päev igale poole kaasa. Te peaksite tegema selle võimalikult raskeks, et keegi saaks seda omavoliliselt ja ilma teie märkamata võltsida. See on enamasti kasulik mõne piiratud vastase vastu, kes ei kasuta teie vastu 5$ võtit.


Oluline on teada, et mõnedel spetsialistidel on triviaalselt lihtne paigaldada teie sülearvutisse klahvilogger või lihtsalt teha teie kõvakettast kloonkoopia, mis võimaldab neil hiljem kriminalistikatehnika abil tuvastada krüpteeritud andmete olemasolu (sellest hiljem rohkem).


Siin on hea odav meetod, kuidas muuta oma sülearvuti võltsimiskindlaks, kasutades küünelakki (koos glitteriga) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (koos piltidega).


Kuigi see on hea ja odav meetod, võib see tekitada ka kahtlusi, kuna see on üsna "märgatav" ja võib lihtsalt paljastada, et teil "on midagi varjata". Nii et on olemas peenemaid viise sama tulemuse saavutamiseks. Sa võid näiteks teha sülearvuti tagakruvidest lähimakrofotot või kasutada lihtsalt väga väikest kogust küünlavaha ühe kruvi sees, mis võiks lihtsalt välja näha nagu tavaline mustus. Seejärel võiksite kontrollida võltsimist, võrreldes kruvide fotosid uute kruvidega. Nende orientatsioon võib olla veidi muutunud, kui teie vastane ei olnud piisavalt ettevaatlik (pingutades neid täpselt samamoodi nagu enne). Või siis võib olla kruvipea põhja sees olev vaha varasemaga võrreldes kahjustatud.
2021 08 05 07 49

Sama tehnikat saab kasutada ka USB-portide puhul, kus võiks lihtsalt pistikupesa sisse panna pisikese koguse küünlavaha, mis oleks USB-võtme sisestamisel kahjustatud.


Riskantsemates keskkondades kontrollige oma sülearvutit enne regulaarset kasutamist, et seda ei oleks manipuleeritud.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Whonixi tee.


Host OS (sülearvutisse paigaldatud operatsioonisüsteem) valimine.


See marsruut kasutab ulatuslikult virtuaalmasinaid, nad vajavad virtualiseerimistarkvara käivitamiseks host OS-i. Selles juhendi osas on teil 3 soovituslikku valikut:


  • Teie valitud Linuxi distributsioon (välja arvatud Qubes OS)
  • Windows 10 (eelistatavalt Home edition Bitlockeri puudumise tõttu)
  • MacOS (Catalina või kõrgem)

Lisaks on muutused kõrged, et teie Mac on või on seotud Apple'i kontoga (ostu ajal või pärast sisselogimist) ja seetõttu võivad tema unikaalsed riistvaratunnused riistvaratunnuste lekke korral viia tagasi teie juurde.


Linux ei ole ka tingimata parim valik anonüümsuse tagamiseks, sõltuvalt teie ohumudelist. Seda seetõttu, et Windowsi kasutamine võimaldab meil mugavalt kasutada Plausible Deniability't (aka Deniable Encryption) lihtsalt operatsioonisüsteemi tasandil. Windows on kahjuks samal ajal ka privaatsuse õudusunenägu, kuid on ainus (mugav) võimalus OS-ülese plausible deniability kasutamiseks. Windowsi telemeetria ja telemeetria blokeerimine on samuti laialdaselt dokumenteeritud, mis peaks paljusid probleeme leevendama.


Mis on siis Plausible Deniability? See on võime teha koostööd vastase jaoks, kes soovib juurdepääsu teie seadmele/andmetele, ilma et ta paljastaks teie tegelikku saladust. Seda kõike kasutades eitavat krüpteerimist.


Pehme seaduslik vastane võib küsida teie krüpteeritud sülearvuti parooli. Esialgu võiksite keelduda igasuguse salasõna väljastamisest (kasutades oma "õigust vaikida", "õigust mitte end süüdistada"), kuid mõned riigid rakendavad seadusi, mis vabastavad selle selliste õiguste alt (sest terroristid ja "mõtle laste peale"). Sellisel juhul peate võib-olla salasõna avaldama või võib-olla peate kohtumõistmise eest vangi minema. Siinkohal tuleb mängu usutav eitamine.


Sa võid siis avaldada parooli, kuid see parool annab juurdepääsu ainult "usutavatele andmetele" (peibutus-OS). Kohtuekspertiisil on hästi teada, et teil on võimalik varjatud andmeid, kuid ei tohiks seda tõestada (kui te seda õigesti teete). Te olete teinud koostööd ja uurijad saavad ligipääsu millelegi, kuid mitte sellele, mida te tegelikult varjata tahate. Kuna tõendamiskohustus peaks olema nende poolel, ei ole neil muid võimalusi kui teid uskuda, kui neil ei ole tõendeid, et teil on varjatud andmeid.


Seda funktsiooni saab kasutada operatsioonisüsteemi tasandil (usutav operatsioonisüsteem ja peidetud operatsioonisüsteem) või failide tasandil, kus teil on krüpteeritud failikonteiner (sarnaselt zip-failile), kus kuvatakse erinevaid faile sõltuvalt kasutatavast krüpteerimisparoolist.


See tähendab ka seda, et te võite luua oma täiustatud "usutava salastatavuse" seadistuse, kasutades mis tahes Host OS-i, salvestades näiteks virtuaalmasinad Veracrypt'i varjatud mahuti konteinerisse (olge ettevaatlik jälgedega Host OS-is, mida tuleks puhastada, kui Host OS on püsiv, vt mõned lisameetmed kohtuekspertiisi vastu hiljem). Selle saavutamiseks on olemas projekt Tailsis(https://github.com/aforensics/HiddenVM [Archive.org]), mis muudaks teie Host OS-i mittepüsivaks ja kasutaks Tailsis usutavat eitamist.


Windowsi puhul on usutav eitavus ka põhjus, miks Sul peaks ideaalis olema Windows 10 Home (ja mitte Pro). Selle põhjuseks on see, et Windows 10 Pro pakub algselt täieliku ketta krüpteerimissüsteemi (Bitlocker), samas kui Windows 10 Home ei paku üldse täielikku ketta krüpteerimist. Hiljem kasutame krüpteerimiseks kolmanda osapoole avatud lähtekoodiga tarkvara, mis võimaldab Windows 10 Home'is täielikku ketta krüpteerimist. See annab Sulle hea (usutava) ettekäände selle tarkvara kasutamiseks. Kuigi selle tarkvara kasutamine Windows 10 Pro's oleks kahtlane.


Märkus Linuxi kohta: Kuidas on lood Linuxiga ja usutava eitamisega? Jah, ka Linuxiga on võimalik saavutada usutavat eitamist. Aga selle seadistamine on keeruline ja IMHO nõuab piisavalt kõrget oskuste taset, et ilmselt ei ole Sul vaja seda juhendit, et seda proovida.


Kahjuks ei ole krüpteerimine mingi maagia ja sellega kaasnevad teatud riskid:


Ohud krüpteerimisega.


5$ mutrivõtme.


Pea meeles, et krüpteerimine koos või ilma usutava eitamisvõimega ei ole hõbepall ja sellest on piinamise korral vähe kasu. Õigupoolest, sõltuvalt sellest, kes teie vastane oleks (teie ohumudel), võib olla mõistlik mitte kasutada Veracrypti (endine TrueCrypt) üldse, nagu näidatakse sellel demonstratsioonil: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org]


Usutav eitamine on efektiivne ainult pehmete seaduskuulekate vastaste vastu, kes ei kasuta füüsilisi vahendeid. Vältige võimaluse korral usutava salastatavusega tarkvara (nagu Veracrypt) kasutamist, kui teie ohumudel hõlmab kõvasid vastaseid. Seega peaksid Windowsi kasutajad sellisel juhul paigaldama Windows Pro kui Host OS-i ja kasutama selle asemel Bitlockerit.


Vt https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


Evil-Maid rünnak.


Evil-Maid rünnakud toimuvad siis, kui keegi tambib teie sülearvutiga, kui te ei ole kohal. Paigaldamiseks kloonida oma kõvaketas, paigaldada pahavara või klahvilogger. Kui nad saavad kloonida oma kõvaketta, saavad nad võrrelda üks pilt oma kõvaketta ajal nad võtsid seda ajal, kui sa olid ära, kui nad konfiskeerida see sinult. Kui te kasutasite sülearvutit vahepeal uuesti, võivad kohtuekspertiisi eksperdid tõestada peidetud andmete olemasolu, vaadates erinevusi kahe kujutise vahel, mis peaksid olema tühi/mittekasutatav ruum. See võib viia tugevate tõenditeni peidetud andmete olemasolu kohta. Kui nad paigaldavad teie sülearvutisse (tarkvara või riistvara) klahviloggeri või pahavara, saavad nad selle konfiskeerimisel teilt lihtsalt salasõna hilisemaks kasutamiseks. Selliseid rünnakuid saab teha teie kodus, hotellis, piiripunktis või kõikjal, kus te jätate oma seadmed järelevalveta.


Seda rünnakut saate leevendada, tehes järgmist (nagu eelnevalt soovitatud):


  • Omandage põhiline võltsimiskaitse (nagu eelnevalt selgitatud), et vältida füüsilist juurdepääsu sülearvuti sisemusele teie teadmata. See takistab teie ketaste kloonimist ja füüsilise klahvilogi paigaldamist teie teadmata.
  • Lülitage kõik USB-pordid (nagu eelnevalt selgitatud) parooliga kaitstud BIOSis/UEFIs välja. Jällegi, nad ei saa neid sisse lülitada (ilma emaplaadile füüsiliselt ligi pääsemata, et BIOSi lähtestada), et käivitada USB-seade, mis võiks kloonida teie kõvaketta või paigaldada tarkvarapõhise pahavara, mis võiks toimida võtmelogerina.
  • Seadistage BIOS/UEFI/Firmware paroolid, et vältida volitamata seadme volitamata käivitamist.
  • Mõnel operatsioonisüsteemil ja krüpteerimistarkvaral on võimalik aktiveerida pahavara vastane kaitse. See on nii Windows/Veracrypt ja QubeOS puhul.

Cold-Boot rünnak.


Cold Boot rünnakud on keerulisemad kui Evil Maid rünnak, kuid võivad olla osa Evil Maid rünnakust, kuna see nõuab, et vastane jõuaks teie sülearvuti valdusesse ajal, mil te aktiivselt kasutate oma seadet või vahetult pärast seda.


Idee on üsna lihtne, nagu selles videos näidatud, vastane võiks teoreetiliselt kiirelt käivitada teie seadme spetsiaalse USB-võtmega, mis kopeeriks seadme RAM-i (mälu) sisu pärast selle väljalülitamist. Kui USB-pordid on välja lülitatud või kui nad tunnevad, et neil on vaja rohkem aega, võiksid nad selle avada ja mälu "jahutada", kasutades selleks pihustit või muid kemikaale (näiteks vedelat lämmastikku), mis takistavad mälu lagunemist. Seejärel saaksid nad selle sisu analüüsimiseks kopeerida. See mälu dump võib sisaldada seadme dekrüpteerimise võtit. Hiljem rakendame nende leevendamiseks mõningaid põhimõtteid.


Plausible Deniability puhul on tehtud mõned kohtuekspertiisi uuringud, mis käsitlevad peidetud andmete olemasolu tehniliselt tõestamist lihtsa kohtuekspertiisiga (ilma Cold Boot/Evil Maid Attack'ilt), kuid need on vaidlustatud teiste uuringute ja Veracrypt'i hooldajate poolt, nii et ma ei muretseks nende pärast veel liiga palju.


Samad meetmed, mida kasutatakse Evil Maid rünnakute leevendamiseks, peaksid olema ka Cold Boot rünnakute puhul, millele on lisatud mõned meetmed:


  • Kui teie operatsioonisüsteem või krüpteerimistarkvara võimaldab seda, siis peaksite kaaluma võtmete krüpteerimist ka RAM-i sees (see on võimalik Windows/Veracryptiga ja seda selgitatakse hiljem).
  • Sa peaksid piirama Sleep stand-by kasutamist ja selle asemel kasutama Shutdown'i või Hibernate'i, et vältida krüpteerimisvõtmete jäämist RAM-i, kui arvuti läheb magama. See on sellepärast, et puhkeolek säilitab teie mälu energiat, et teie tegevus kiiremini jätkuks. Ainult hibernatsioon ja väljalülitamine kustutavad võtme tegelikult mälust.

Vt ka https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] ja https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Siin on ka mõned huvitavad vahendid, mida Linuxi kasutajad võiksid kaaluda, et nende vastu kaitsta:



Sleep, Hibernation ja Shutdown.


Kui soovite paremat turvalisust, peaksite oma sülearvuti täielikult välja lülitama iga kord, kui jätate selle järelevalveta või sulgete kaane. See peaks puhastama ja/või vabastama töömälu ja pakkuma leevendusi külmkäivituse rünnakute vastu. See võib aga olla veidi ebamugav, kuna peate täielikult taaskäivitama ja sisestama tonnide kaupa paroole erinevatesse rakendustesse. Taaskäivitage erinevad VM-d ja muud rakendused. Seega võiksite selle asemel kasutada ka hibernatsiooni (ei toeta Qubes OS). Kuna kogu ketas on krüpteeritud, ei tohiks hibernatsioon iseenesest kujutada endast suurt turvariski, kuid siiski lülitab teie sülearvuti välja ja tühjendab mälu, võimaldades teil pärast seda mugavalt oma tööd jätkata. Mida te ei tohiks kunagi teha, on kasutada tavalist puhkeoleku funktsiooni, mis hoiab arvuti sisse lülitatud ja mälu voolu all. See on eelnevalt käsitletud kurjuse- ja külmkäivituse rünnakuvektor. Selle põhjuseks on see, et teie sisselülitatud mälu hoiab teie ketta krüpteerimisvõtmeid (krüpteeritud või mitte) ja oskuslik vastane võib siis sellele ligi pääseda.


Selles juhendis antakse hiljem juhiseid selle kohta, kuidas lülitada hibernatsioon erinevatel host-operatsioonisüsteemidel (välja arvatud Qubes OS) sisse, kui te ei soovi iga kord väljalülitamist.


Kohalikud andmevoolud (jäljed) ja kohtuekspertiis.


Nagu eelnevalt lühidalt mainitud, on need andmete lekked ja jäljed teie operatsioonisüsteemist ja rakendustest, kui te sooritate arvutis mis tahes tegevust. Need puudutavad enamasti krüpteeritud failikonteinereid (usutava eitamisega või ilma) kui operatsioonisüsteemi hõlmavat krüpteerimist. Sellised lekked on vähem "olulised", kui kogu teie operatsioonisüsteem on krüpteeritud (kui te ei ole sunnitud salasõna avaldama).


Ütleme näiteks, et teil on Veracryptiga krüpteeritud USB-võti, mille usutav eitavus on sisse lülitatud. Sõltuvalt paroolist, mida te kasutate USB-mäluseadme paigaldamisel, avab see peibutuskausta või tundliku kausta. Nende kaustade sees on teil peibutuskaustas peibutusdokumendid/andmed ja tundlikus kaustas tundlikud dokumendid/andmed.


Kõigil juhtudel avad Sa (tõenäoliselt) need kaustad Windows Exploreriga, MacOS Finderiga või mõne muu utiliidiga ja teed seda, mida Sa kavatsesid teha. Võib-olla redigeerite dokumenti tundlikus kaustas. Võib-olla otsite kaustas olevat dokumenti. Võib-olla kustutate ühe või vaatate VLC abil tundlikku videot.


Noh, kõik need rakendused ja teie operatsioonisüsteem võivad säilitada selle kasutamise kohta logisid ja jälgi. Need võivad sisaldada kausta/kaustade/failide/ketaste täielikku teekonda, aega, millal neile ligi pääses, nende failide ajutisi vahemälusid, "hiljutiste" nimekirju igas rakenduses, failide indekseerimissüsteemi, mis võib ketta indekseerida, ja isegi pisipilte, mis võivad olla loodud.


Siin on mõned näited selliste lekete kohta:


Windows.


  • Windows ShellBags, mis on salvestatud Windowsi registrisse ja mis salvestavad vaikselt erinevaid ajalooteadmisi kasutatud mahtude/kaustade/kaustade kohta.
  • Windows Indexing, mis hoiab vaikimisi oma kasutajakaustas olevate failide jälgi.
  • Hiljutised nimekirjad (aka Jump Lists) Windowsis ja erinevates rakendustes, mis hoiavad jälgi hiljuti kasutatud dokumentidest.
  • Palju rohkem jälgi erinevates logides, palun vaadake seda mugavat huvitavat plakatit, et saada rohkem ülevaadet: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.


  • Gatekeeper290 ja XProtect, mis jälgivad teie allalaadimisajalugu kohalikus andmebaasis ja faili atribuute.
  • Spotlight indekseerimine
  • Hiljutised nimekirjad erinevates rakendustes, mis hoiavad jälgi hiljuti kasutatud dokumentidest.
  • Ajutised kaustad, mis säilitavad mitmesuguseid jälgi rakenduste ja dokumentide kasutamise kohta.
  • MacOS-i logid
  • ...

Linux.


  • Jälgija indekseerimine
  • Bash ajalugu
  • USB logid
  • Hiljutised nimekirjad erinevates rakendustes, mis hoiavad jälgi hiljuti kasutatud dokumentidest.
  • Linuxi logid
  • ...

Kohtuekspertiis võib kasutada kõiki neid lekkeid (vt Kohalike andmete lekkeid ja kohtuekspertiisi), et tõestada varjatud andmete olemasolu ja lüüa teie katsed kasutada usutavat eitamist ning saada teada teie erinevatest tundlikest tegevustest.


Seetõttu on oluline rakendada mitmesuguseid meetmeid, et takistada kohtuekspertiisi seda, ennetades ja puhastades neid lekkeid/jälgi ning, mis veelgi olulisem, kasutades kogu ketta krüpteerimist, virtualiseerimist ja killustatust.


Kohtuekspertiisijad ei saa eraldada lokaalseid andmevoolusid operatsioonisüsteemist, millele nad ei pääse ligi. Ja te saate enamiku neist jälgedest puhastada, pühkides ketta või kustutades turvaliselt oma virtuaalmasinad (mis ei ole SSD-ketaste puhul nii lihtne, kui te arvate).


Mõned puhastamistehnikad on siiski käsitletud selle juhendi lõpus olevas osas "Cover your Tracks" (Jälgede katmine).


Online-andmevoolud.


Kas te kasutate lihtsat krüpteerimist või usutavat eitavat krüpteerimist. Isegi kui te katate oma jäljed arvutis endas. On ikkagi oht, et online-andmete lekked võivad varjatud andmete olemasolu paljastada.


Telemetria on teie vaenlane. Nagu selles juhendis varem selgitatud, võib operatsioonisüsteemide, aga ka rakenduste telemetria saata veebis vapustavaid koguseid privaatseid andmeid.


Windowsi puhul saaks neid andmeid kasutada näiteks selleks, et tõestada arvutis varjatud operatsioonisüsteemi / mahu olemasolu ja need oleksid Microsoftil hõlpsasti kättesaadavad. Seetõttu on äärmiselt oluline, et te keelaksite ja blokeeriksite telemetria kõigi teie käsutuses olevate vahenditega. Ükskõik, millist operatsioonisüsteemi te kasutate.


Järeldus.


Te ei tohiks kunagi teostada tundlikke tegevusi krüpteerimata süsteemist. Ja isegi kui see on krüpteeritud, ei tohiks te tõenäoliselt kunagi teostada tundlikke tegevusi Host OS-i enda kaudu. Selle asemel peaksite kasutama VM-i, et saaksite oma tegevusi tõhusalt isoleerida ja killustada ning vältida kohalikke andmekaitselekkeid.


Kui Sul on vähe või üldse mitte mingeid teadmisi Linuxist või kui Sa soovid kasutada OS-ülest usutavat eitamist, siis soovitaksin mugavuse huvides valida Windows (või tagasi Tails'i tee). See juhend aitab teil karmistada seda nii palju kui võimalik, et vältida lekkeid. See juhend aitab teil ka MacOSi ja Linuxi võimalikult palju karmistada, et vältida sarnaseid lekkeid.


Kui teil ei ole huvi OS-ülese usutava eitamise vastu ja soovite õppida Linuxi kasutama, soovitan tungivalt valida Linuxi või Qubes'i marsruuti, kui teie riistvara seda võimaldab.


Igal juhul ei tohiks host OS-i kunagi kasutada tundlike tegevuste otseseks läbiviimiseks. Host OS-i kasutatakse ainult avaliku Wi-Fi Access Point'iga ühendumiseks. See jäetakse tundlike tegevuste tegemise ajaks kasutamata ja ideaalis ei tohiks seda kasutada teie igapäevaseks tegevuseks.


Kaaluge ka lugemist https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Linuxi vastuvõttev operatsioonisüsteem.


Nagu varem mainitud, ei soovita ma kasutada oma igapäevast sülearvutit väga tundlike tegevuste jaoks. Või vähemalt ei soovita ma nende jaoks kasutada oma kohapealset operatsioonisüsteemi. Selle tegemine võib põhjustada soovimatuid andmelekkeid, mida võidakse kasutada teie anonüümsuse kaotamiseks. Kui teil on selleks spetsiaalne sülearvuti, peaksite uuesti installima värske puhta operatsioonisüsteemi. Kui te ei soovi oma sülearvutit pühkida ja uuesti alustada, peaksite kaaluma Tails'i teed või jätkama omal vastutusel.


Samuti soovitan teha esialgne paigaldus täiesti offline, et vältida andmete lekkimist.


Alati tuleb meeles pidada, et vaatamata mainele ei ole Linuxi peavoolu distributsioonid (näiteks Ubuntu) tingimata paremad turvalisuse osas kui teised süsteemid nagu MacOS ja Windows. Vaata seda viidet, et mõista, miks https://madaidans-insecurities.github.io/linux.html [Archive.org].


Täielik ketta krüpteerimine.


Ubuntu puhul on siin kaks võimalust:



Teiste distributsioonide puhul pead sa ise dokumenteerima, kuid tõenäoliselt on see sarnane. Krüpteerimine paigaldamise ajal on lihtsalt selle juhendi kontekstis palju lihtsam.


Lükake/välja igasugune telemetria.



Lülita välja kõik mittevajalik.



Hibernatsioon.


Nagu eelnevalt selgitatud, ei tohiks te kasutada puhkefunktsioone, vaid lülitage oma sülearvuti välja või viige taandurisse, et leevendada mõningaid kurjuse- ja külmkäivituse rünnakuid. Kahjuks on see funktsioon paljudes Linuxi distributsioonides, sealhulgas Ubuntus, vaikimisi välja lülitatud. Seda on võimalik lubada, kuid see ei pruugi toimida ootuspäraselt. Järgige seda teavet omal vastutusel. Kui te ei soovi seda teha, siis ei tohiks te kunagi kasutada sleep-funktsiooni ja lülitage selle asemel välja (ja tõenäoliselt seadistage kaane sulgemise käitumine välja lülitamiseks, mitte sleep'iks).


Järgige ühte neist õpetustest, et lülitada puhkeolek sisse:



Pärast Hibernate'i lubamist muutke käitumist nii, et sülearvuti lülitub hibernatsiooni, kui te sulgete kaane, järgides seda õpetust Ubuntu 20 . 04 jaoks https://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] ja seda õpetust Ubuntu 18 .04 jaoks https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org].


Kahjuks ei puhasta see hibernatsiooni ajal võtit otse mälust. Et seda vältida mõningase jõudluse arvelt, võiksite kaaluda swap-faili krüpteerimist, järgides seda õpetust: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Need seaded peaksid leevendama külmkäivituse rünnakuid, kui suudate piisavalt kiiresti hibernatsiooni minna.


Võta kasutusele MAC-aadresside juhuslikkus.



Linuxi karastamine.


Kerge sissejuhatusena uutele Linuxi kasutajatele, kaaluge järgmist
[Invidious]


Põhjalikumate ja edasijõudnute valikute jaoks vt:



Turvalise brauseri seadistamine.


Vt lisa G: Turvaline brauser vastuvõtvas operatsioonisüsteemis.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

MacOS Host OS.


Märkus: Praegu ei toeta see juhend (veel) ARM M1 MacBooki. Kuna Virtualbox ei toeta seda arhitektuuri veel. See võib siiski olla võimalik, kui kasutate kommertsvahendeid nagu VMWare või Parallels, kuid neid ei käsitleta selles juhendis.


Nagu varem mainitud, ei soovita ma oma igapäevast sülearvutit väga tundlike tegevuste jaoks kasutada. Või vähemalt ei soovita ma nende jaoks oma kohapealset operatsioonisüsteemi kasutada. Selle tegemine võib põhjustada soovimatuid andmelekkeid, mida võidakse kasutada teie anonüümsuse kaotamiseks. Kui teil on selleks spetsiaalne sülearvuti, peaksite uuesti installima värske puhta operatsioonisüsteemi. Kui te ei soovi oma sülearvutit pühkida ja uuesti alustada, peaksite kaaluma Tails'i teed või jätkama omal vastutusel.


Samuti soovitan teha esialgne paigaldus täiesti offline, et vältida andmete lekkimist.


Ära kunagi logi oma Apple'i kontoga sisse, kasutades seda Mac'i.


Installeerimise ajal.


  • Jääge võrguühenduseta
  • Lülitage kõik andmevahetuse päringud, sealhulgas asukoha*****used, välja, kui seda küsitakse.
  • Ärge logige sisse Apple'iga
  • Ärge aktiveerige Siri

MacOSi karastamine.


Kerge sissejuhatusena uutele MacOSi kasutajatele kaaluge järgmist
[Invidious]


Nüüd, et minna põhjalikumalt oma MacOS-i turvamisse ja karastamisse, soovitan lugeda seda GitHubi juhendit, mis peaks katma paljud probleemid: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Siin on põhilised sammud, mida peaksite tegema pärast võrguühenduseta paigaldamist:


Lülita firmware parool sisse valikuga "disable-reset-capability".


Kõigepealt tuleks seadistada firmware parool vastavalt sellele Apple'i juhendile: https://support.apple.com/en-us/HT204455 [Archive.org]


Kahjuks on mõned rünnakud siiski võimalikud ja vastane võib selle parooli välja lülitada, seega peaksite järgima ka seda juhendit, et vältida firmware parooli välja lülitamist kelleltki, sealhulgas Apple'ilt: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Võta puhkeoleku asemel kasutusele hibernatsioon.


See on jällegi selleks, et vältida mõningaid külmkäivituse ja kurjategijate rünnakuid, lülitades mälu välja ja puhastades krüpteerimisvõtme, kui te sulgete kaane. Sa peaksid alati kas hibernatsiooni või väljalülitamist kasutama. MacOS-i puhul on hibernatsioonifunktsioonil isegi spetsiaalne valik, et puhkerežiimile lülitamisel mälust konkreetselt krüpteerimisvõti kustutada (samas kui teistes operatsioonisüsteemides peate võib-olla ootama, kuni mälu laguneb). Jällegi ei ole seadetes selleks lihtsaid võimalusi, nii et selle asemel tuleb meil hibernatsiooni lubamiseks käivitada mõned käsud:


  • Avage terminal
  • Käivita: sudo pmset -a destroyfvkeyonstandby 1
    • See käsk annab MacOSile korralduse hävitada Filevault võti ooterežiimil (puhkeolekus)
  • Käivita: sudo pmset -a hibernatemode 25
    • See käsk annab MacOSile korralduse lülitada mälu puhkeoleku ajal välja, selle asemel et teha hübriidne hibernatsioon, mis hoiab mälu sisse lülitatud. Selle tulemuseks on aeglasem ärkamine, kuid see suurendab aku kestvust.

Kui sa nüüd MacBooki kaane sulged, peaks see puhkeoleku asemel uinuma ja vähendama külmkäivituse rünnakute sooritamise katseid.


Lisaks tuleks seadistada ka automaatne puhkeolek (Seaded > Energia), et MacBook lülituks automaatselt hibernatsiooni, kui see jäetakse järelevalveta.


Lülita mittevajalikud *****used välja.


Lülita seadetes välja mõned mittevajalikud seaded:


  • Bluetoothi keelamine
  • Lülitage kaamera ja mikrofon välja
  • Lülitage asukoha*****used välja
  • Lülitage Airdrop välja
  • Keelake indekseerimine

Vältida Apple OCSP-kõnesid.


Need on MacOS Big Suri kurikuulsad "blokeerimata telemetriakutsed", mis on avalikustatud siin: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Saate blokeerida OCSP-aruandluse, andes Terminalis järgmise käsu:


  • sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'.

Aga ilmselt peaksite enne tegutsemist tegelikku probleemi ise dokumenteerima. See lehekülg on hea koht alustamiseks: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


See on tegelikult sinu otsustada. Mina blokeeriksin selle, sest ma ei taha üldse mingit telemetriat oma OS-ist emakompuutrile ilma minu konkreetse nõusolekuta. Ei ole.


Lülita sisse Full Disk krüpteerimine (Filevault).


Te peaksite oma Mac'ile Filevault'i abil lubama täieliku ketta krüpteerimise vastavalt sellele juhendi osale: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]


Olge sisselülitamisel ettevaatlik. Ärge salvestage taastamisvõtit Apple'is, kui seda küsitakse (ei tohiks olla probleemiks, kuna peaksite selles etapis olema võrguühenduseta). Te ei taha, et teie taastamisvõti oleks kolmandal osapoolel ilmselt olemas.


MAC-aadressi juhuslikuks muutmine.


Kahjuks ei paku MacOS oma MAC-aadressi juhuslikuks muutmiseks mugavat võimalust ja seega peate seda tegema käsitsi. See nullib end iga taaskäivituse korral ja te peate seda iga kord uuesti tegema, et tagada, et te ei kasutaks oma tegelikku MAC-aadressi erinevate Wi-Fi-ühenduste loomisel.


Saate seda teha, andes terminalis järgmised käsud (ilma sulgudeta):


  • (lülitage Wi-Fi välja) networksetup -setairportpower en0 off
  • (Muutke MAC-aadressi) sudo ifconfig en0 ether 88:63:11:11:11:11:11:11
  • (lülitage Wi-Fi tagasi sisse) networksetup -setairportpower en0 on

Turvalise brauseri seadistamine.


Vt lisa G: Turvaline brauser vastuvõtvas operatsioonisüsteemis


Windows Host OS.


Nagu varem mainitud, ei soovita ma oma igapäevast sülearvutit väga tundlike tegevuste jaoks kasutada. Või vähemalt ei soovita ma selleks kasutada oma kohapealset operatsioonisüsteemi. Selle tegemine võib põhjustada soovimatuid andmelekkeid, mida võidakse kasutada teie anonüümsuse kaotamiseks. Kui teil on selleks spetsiaalne sülearvuti, peaksite uuesti installima värske puhta operatsioonisüsteemi. Kui te ei soovi oma sülearvutit pühkida ja uuesti alustada, peaksite kaaluma Tails'i teed või jätkama omal vastutusel.


Samuti soovitan teha esialgne paigaldus täiesti offline, et vältida andmete lekkimist.


Paigaldamine.


Te peaksite järgima lisa A: Windowsi paigaldamine


Kerge sissejuhatusena kaaluge, kas vaadata
[Invidious]


MAC-aadresside juhuslikkuse lubamine.


Te peaksite oma MAC-aadressi juhuslikuks muutma, nagu selles juhendis varem selgitatud:


Mine seadistustesse > Võrk ja Internet > Wi-Fi > Lülita sisse juhuslikud riistvara-aadressid.


Alternatiivina võite kasutada seda tasuta tarkvara: https://technitium.com/tmac/ [Archive.org].


Turvalise brauseri seadistamine.


Vt lisa G: Turvaline brauser vastuvõtvas operatsioonisüsteemis.


Lubage oma Host OS-is mõned täiendavad privaatsussätted.


Vt lisa B: Windowsi täiendavad privaatsusseaded


Windows Host OS-i krüpteerimine.


Kui te kavatsete kasutada kogu süsteemi hõlmavat usutavat eitamist.


Veracrypt on tarkvara, mida ma soovitan täieliku ketta krüpteerimiseks, failide krüpteerimiseks ja usutavaks eitamiseks. See on tuntud, kuid aegunud ja hooldamata TrueCrypti haru. Seda saab kasutada


  • Täieliku ketta lihtne krüpteerimine (teie kõvaketas krüpteeritakse ühe parooliga).
  • Full Disk encryption with plausible deniability (see tähendab, et sõltuvalt käivitamisel sisestatud paroolist käivitatakse kas peibutus- või varjatud operatsioonisüsteem).
  • File container simple encryption (see on suur fail, mille saate Veracryptis paigaldada, nagu oleks tegemist välise kettaga, et salvestada krüpteeritud faile sinna).
  • Failikonteiner usutava salastatavusega (see on sama suur fail, kuid sõltuvalt salasõnast, mida kasutate selle monteerimisel, monteerite kas "varjatud andmekandja" või "peibutusandmekandja").

See on minu teada ainus (mugav ja kõigile kasutatav) tasuta, avatud lähtekoodiga ja avalikult auditeeritud krüpteerimistarkvara, mis pakub ka usutavat salastatavust üldiseks kasutamiseks ja ta töötab koos Windows Home Editioniga.


Lae Veracrypt alla ja installeeri see aadressilt: https://www.veracrypt.fr/en/Downloads.html [Archive.org].


Pärast installimist vaadake hetkeks läbi järgmised võimalused, mis aitavad mõningaid rünnakuid leevendada:


  • Krüpteeri mälu Veracrypti valikuga (seaded > jõudlus/ajuri valikud > krüpteeri RAM), mis maksab 5-15% jõudluse arvelt. See seade keelab ka hibernatsiooni (mis ei tühjenda aktiivselt võtit hibernatsiooni ajal) ja krüpteerib selle asemel mälu täielikult, et leevendada mõningaid külmkäivituse rünnakuid.
  • Võta kasutusele valik Veracrypt, et pühkida võtmed mälust, kui sisestatakse uus seade (süsteem > seaded > turvalisus > tühjenda võtmed mälust, kui sisestatakse uus seade). See võib aidata juhul, kui teie süsteem võetakse kinni, kui see on veel sisse lülitatud (kuid lukustatud).
  • Lubage Veracrypti valik, et mahuteid monteeritaks teisaldatavana (Seaded > Preferences > Mount volume as removable media (Seadistused > Eelistused > Mount volume as removable media)). See takistab Windowsi mõningate logide kirjutamist Sinu mount'ide kohta Event logs'i ja hoiab ära mõned lokaalsed andmelekked.
  • Olge ettevaatlik ja olge hea olukorrateadlik, kui te tajute midagi imelikku. Lülita oma sülearvuti võimalikult kiiresti välja.
  • Kuigi Veracrypti uuemad versioonid toetavad Secure Boot'i, soovitan ma selle BIOSist välja lülitada, sest ma eelistan Veracrypt Anti-Evil Maid süsteemi Secure Boot'ile.

Kui te ei soovi kasutada krüpteeritud mälu (sest jõudlus võib olla probleemiks), siis peaksite vähemalt magalaresti asemel lülitama sisse hibernatsiooni. See ei tühjenda võtmeid mälust (olete endiselt haavatav külmkäivituse rünnakute suhtes), kuid peaks vähemalt neid mõnevõrra leevendama, kui mälul on piisavalt aega lagunemiseks.


Rohkem üksikasju hiljem jaotises A ja B: Lihtne krüpteerimine Veracrypti abil (Windowsi õpetus).


Kui te ei kavatse kasutada kogu süsteemi hõlmavat usutavat eitamist.


Sellisel juhul soovitan ma Veracrypt'i asemel kasutada BitLocker'i täieliku ketta krüpteerimise jaoks. Põhjendus on see, et BitLocker ei paku erinevalt Veracryptist usutavat eitamisvõimalust. Karmil vastasel ei ole siis mingit stiimulit oma "tõhustatud" ülekuulamist jätkata, kui te paljastate paroolfraasi.


Tavaliselt peaksid Sa olema sellisel juhul installeerinud Windows Pro ja BitLockeri seadistamine on üsna lihtne.


Põhimõtteliselt võid järgida siinseid juhiseid: https://support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]


Aga siin on sammud:


  • Klõpsa Windowsi menüüsse
  • Sisestage "Bitlocker"
  • Klõpsa "Manage Bitlocker"
  • Klõpsa "Turn On Bitlocker" oma süsteemikettal
  • Järgige juhiseid
    • Ärge salvestage oma taastamisvõtit Microsofti kontole, kui seda küsitakse.
    • Salvestage taastamisvõti ainult välisele krüpteeritud kettale. Sellest möödahiilimiseks printige taastamisvõti, kasutades Microsoft Print to PDF-printerit ja salvestage võti kausta Documents (Dokumendid).
    • Krüpteerige kogu ketas (ärge krüpteerige ainult kasutatud kettaruumi).
    • Kasutage "Uut krüpteerimisrežiimi"
    • Käivitage BitLockeri kontroll
    • Taaskäivitage
  • Krüpteerimine peaks nüüd ne käivituma taustal (saate seda kontrollida, klõpsates Bitlockeri ikoonile tegumiriba paremal allosas).

Lubage Hibernatsioon (valikuline).


Jällegi, nagu eelnevalt selgitatud. Te ei tohiks kunagi kasutada puhkeoleku funktsiooni, et leevendada mõningaid külmkäivituse ja kurjategijate rünnakuid. Selle asemel tuleks Sulge või uinuta. Seega peaksite oma sülearvuti kaane sulgemisel või sülearvuti uinumise ajal lülitama puhkeolekusse.


(Pange tähele, et te ei saa hibernatsiooni aktiveerida, kui te eelnevalt lülitasite Veracryptis sisse RAM-i krüpteerimise).


Põhjus on selles, et hibernatsioon lülitab teie sülearvuti tegelikult täielikult välja ja puhastab mälu. Puhkeolek seevastu jätab mälu (sealhulgas teie dekrüpteerimisvõtme) sisse lülitatud ja võib teie sülearvuti jätta külmkäivituse rünnakute suhtes haavatavaks.


Vaikimisi ei pruugi Windows 10 seda võimalust pakkuda, nii et Sa peaksid selle lubama, järgides seda Microsofti õpetust: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]


  • Ava administraatori käsureale (klõpsa paremklikk käsureale ja "Run as Administrator")
  • Käivita: powercfg.exe /hibernate on
  • Nüüd käivitage lisakäsk: **powercfg /h /type full**
    • See käsk veendub, et teie hibernate režiim on täis ja puhastab mälu täielikult (mitte kindlalt tho).

Pärast seda peaksite minema oma toite seadistustesse:


  • Avage juhtpaneel
  • Ava System & Security (Süsteem ja turvalisus)
  • Ava Power Options
  • Ava "Vali, mida toitenupp teeb"
  • Muutke kõik puhkeolekust puhkeolekusse või väljalülitamisse
  • Minge tagasi Power Options'ile
  • Valige Change Plan Settings
  • Valige Advanced Power Settings (Täiustatud toiteseadistused)
  • Muutke iga toiteplaani kõik puhkeoleku väärtused väärtuseks 0 (mitte kunagi)
  • Veenduge, et hübriidne puhkeolek on iga toiteplaani puhul välja lülitatud.
  • Lubage Hibernate pärast soovitud aja möödumist
  • Lülitage välja kõik äratundmise taimerid

Otsustage, millist alamkorda te võtate.


Nüüd peate valima oma järgmise sammu kahe valiku vahel:


  • Marsruut A: Praeguse operatsioonisüsteemi lihtne krüpteerimine
    • Plussid:
      • Ei nõua sülearvuti pühkimist
      • Ei ole probleemi kohalike andmete lekkimisega
      • Töötab suurepäraselt SSD-kettaga
      • Töötab mis tahes operatsioonisüsteemiga
      • Lihtne
    • Miinused:
      • Teid võib vastane sundida oma parooli ja kõiki teie saladusi avaldama ning teil ei ole usutavat eitamisvõimalust.
      • Online-andmete lekkimise oht
  • Marsruut B: Teie praeguse operatsioonisüsteemi lihtne krüpteerimine koos hilisema usutava salastatavuse kasutamisega failide endi puhul:
    • Plussid:
      • Ei nõua sülearvuti pühkimist
      • Töötab hästi SSD-kettaga
      • Töötab mis tahes operatsioonisüsteemiga
      • Võimalik usutav eitamine "pehmete" vastaste puhul
    • Miinused:
      • Online-andmete lekke oht
      • Kohalike andmete lekete oht (mis toob kaasa rohkem tööd nende lekete kõrvaldamiseks).
  • Marsruut C: Usutav eitatavus Operatsioonisüsteemi krüpteerimine (sülearvutis töötab "varjatud operatsioonisüsteem" ja "peibutus-OS"):
    • Plussid:
      • Ei ole probleeme kohalike andmete lekkimisega
      • Võimalik usutav eitamine "pehmete" vastaste puhul.
    • Miinused:
      • Nõuab Windowsi (see funktsioon ei ole Linuxis "lihtsalt" toetatud).
      • Andmete online lekkimise oht
      • Nõuab sülearvuti täielikku pühkimist
      • Ei kasuta SSD-kettaga, kuna nõuab Trim Operations'i keelamist. See halvendab aja jooksul tõsiselt teie SSD-ketta jõudlust/tervislikku seisundit.

Nagu näete, pakub Route C ainult kaks privaatsuse eelist teiste ees ja sellest on kasu ainult pehmete seadusekuulekate vastaste vastu. Pidage meeles https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


See, millist marsruuti te kasutate, on teie enda otsustada. Marsruut A on minimaalne.


Kontrollige alati kindlasti sageli uusi Veracrypti versioone, et tagada, et saate kasu viimastest parandustest. Eriti kontrollige seda enne suurte Windowsi uuenduste rakendamist, mis võivad rikkuda Veracrypti alglaadijat ja saata teid alglaadimissilmusesse.


MÄRKIGE, ET VERACRYPT KASUTAB ALATI SÜSTEEMI PASSWORDI QWERTY (kuvab parooli testina). See võib tekitada probleeme, kui teie käivitussisestus toimub sülearvuti klaviatuuri abil (näiteks AZERTY), kuna te olete seadistanud oma parooli QWERTY-süsteemis ja sisestate selle käivitamisel AZERTY-süsteemis. Seega kontrollige testkäivituse tegemisel kindlasti, millist klaviatuuri paigutust teie BIOS kasutab. Sisselogimine võib ebaõnnestuda just QWERTY/AZERTY segiajamise tõttu. Kui teie BIOS käivitub AZERTY-klahvistikku kasutades, peate Veracryptis sisestama parooli QWERTY-klahvistikus.



Marsruudid A ja B: Lihtne krüpteerimine Veracryptiga (Windowsi õpetus)


Jätke see samm vahele, kui kasutasite varem BitLockeri asemel.


Selle meetodi jaoks ei pea teil olema kõvaketas ja te ei pea selle marsruudi puhul Trim'i keelama. Trim lekkimisest on kasu ainult kohtuekspertiisi jaoks Hidden Volume'i olemasolu tuvastamisel, kuid muidu ei ole sellest palju kasu.


See marsruut on üsna lihtne ja krüpteerib lihtsalt teie praeguse operatsioonisüsteemi kohapeal ilma andmeid kaotamata. Lugege kindlasti läbi kõik tekstid, mida Veracrypt teile näitab, et teil oleks täielik arusaam sellest, mis toimub.


  • Käivitage VeraCrypt
  • Mine seadistustesse:
    • Settings > Performance/driver options > Encrypt RAM
    • Süsteem > Seaded > Turvalisus > Tühjenda võtmed mälust, kui sisestatakse uus seade
    • Süsteem > Seaded > Windows > Turvalise töölaua lubamine
  • Valige süsteem
  • Valige Encrypt System Partition/Drive (Süsteemi partitsiooni/ketta krüpteerimine)
  • Valige Normal (Lihtne)
  • Valige Single-Boot (ühekordne käivitamine)
  • Valige krüpteerimisalgoritmiks AES (klõpsake nupule test, kui soovite kiirust võrrelda)
  • Valige SHA-512 hash Algoritmiks (sest miks mitte).
  • Sisestage tugev salasõna (mida pikem, seda parem, pidage meeles lisa A2: Suunised paroolide ja salasõnade jaoks).
  • Koguge natuke entroopiat, liigutades juhuslikult kursorit, kuni riba on täis
  • Klõpsake Next kui ekraanil Generated Keys (genereeritud võtmed)
  • Kas päästa ketas või mitte päästa ketas, noh, see on teie otsustada. Soovitan teha ühe (igaks juhuks), lihtsalt veenduge, et salvestate selle väljaspool oma krüpteeritud ketast (näiteks USB-võtit või oodake ja vaadake selle juhendi lõpus juhiseid turvaliste varukoopiate kohta). See päästeketas ei salvesta teie salasõna ja selle kasutamiseks on seda ikkagi vaja.
  • Pühkimisrežiim:
    • Kui teil ei ole selles sülearvutis veel tundlikke andmeid, valige None
    • Kui teil on SSD-kettal tundlikke andmeid, peaks Trim üksi selle eest hoolitsema, kuid ma soovitaksin kindluse mõttes 1 läbimist (juhuslikud andmed).
    • Kui teil on tundlikke andmeid kõvakettal, siis ei ole Trim ja ma soovitaksin vähemalt 1 läbimist.
  • Testige oma seadistust. Veracrypt taaskäivitab nüüd teie süsteemi, et testida enne krüpteerimist alglaadijat. See test peab läbima, et krüpteerimine läheks edasi.
  • Pärast arvuti taaskäivitamist ja testi läbimist. Veracrypt palub teil alustada krüpteerimisprotsessi.
  • Alustage krüpteerimist ja oodake selle lõpuleviimist.
  • Te olete valmis, jätke marsruut B vahele ja minge järgmiste sammude juurde.

Järgneb veel üks lõik, mis käsitleb krüpteeritud failikonteinerite loomist Plausible Deniability'ga Windowsis.


Marsruut B: Plausible Deniability krüpteerimine varjatud operatsioonisüsteemiga (ainult Windows)


See on toetatud ainult Windowsis.


See on soovitatav ainult kõvakettal. Seda ei soovitata SSD-kettal.


Teie Hidden OS ei tohiks olla aktiveeritud (MS tootevõtmega). Seetõttu soovitab ja juhendab see marsruut täielikku puhast installeerimist, mis pühib kõik teie sülearvutis olevad andmed.



Lugege Veracrypti dokumentatsiooni https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Hidden Operating System'i osa loomise protsess) ja https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Hidden Volumes'iga seotud turvanõuded ja ettevaatusabinõud).


Nii näeb teie süsteem pärast selle protsessi lõppu välja:
2021 08 05 08 01


(Illustratsioon Veracrypt Documentation, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]).


Nagu näete, nõuab see protsess, et teil oleks algusest peale kaks partitsiooni kõvakettal.


See protsess teeb järgmist:


  • Krüpteerib teie teise partitsiooni (välise mahu), mis näeb välja nagu tühi vormindamata ketas peibutus-operatsioonisüsteemist.
  • Kutsub teid üles kopeerima mõningat peibutussisu välise mahu sees.
    • See on koht, kus te kopeerite oma peibutussisu Anime/*****o kollektsiooni mõnelt väliselt kõvakettalt välisele mahule.
  • Looge selle teise partitsiooni välise mahu sees varjatud maht. Seal hakkab asuma varjatud operatsioonisüsteem.
  • Kloonige oma praegu töötav Windows 10 installeerimine peidetud mahule.
  • Pühkige oma praegu töötav Windows 10.
  • See tähendab, et Sinu praegusest Windows 10-st saab peidetud Windows 10 ja Sa pead uuesti installeerima värske Windows 10 peibutus OS-i.

Kohustuslik, kui Sul on SSD ketas ja Sa tahad seda ikkagi teha vastu soovitust: Lülita SSD Trim Windowsis välja (jällegi see EI ole üldse soovitatav, sest Trim'i välja lülitamine iseenesest on väga kahtlane). samuti nagu juba mainitud, vähendab Trim'i välja lülitamine Sinu SSD draivi eluiga ja mõjutab aja jooksul oluliselt tema jõudlust (Sinu sülearvuti muutub mitme kuu jooksul järjest aeglasemaks, kuni ta muutub peaaegu kasutuskõlbmatuks, siis pead Sa kõvaketta puhastama ja kõik uuesti installeerima). Kuid te peate seda tegema, et vältida andmete lekkimist , mis võimaldaks kohtuekspertiisil teie usutavat eitamist nurjata. Praegu on ainus võimalus seda vältida, kui teil on selle asemel sülearvuti, millel on klassikaline kõvaketas.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

1. samm: Windows 10 installimise USB-võtme loomine


Vaadake lisa C: Windowsi installatsioonimeedia loomine ja minge USB-võtme teed.


2. samm: Käivitage USB-mäluseade ja käivitage Windows 10 paigaldusprotsess (varjatud operatsioonisüsteem).



3. samm: Privaatsusseaded (Hidden OS)


Vt lisa B: Windowsi täiendavad privaatsusseaded


Samm 4: Veracrypti paigaldamine ja krüpteerimisprotsessi käivitamine (Hidden OS)


Ärge unustage lugeda https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Ärge ühendage seda operatsioonisüsteemi oma tuntud Wi-Fi-ühendusega. Te peaksite Veracrypti paigaldusprogrammi alla laadima teisest arvutist ja kopeerima paigaldusprogrammi siia, kasutades USB-mälu.


  • Installige Veracrypt
  • Käivitage Veracrypt
  • Minge seadistustesse:
    • Settings > Performance/driver options > Encrypt RAM(pange tähele, et see valik ei ühildu sülearvuti Hibernatsiooniga ja tähendab, et peate selle täielikult välja lülitama).
    • Süsteem > Seaded > Turvalisus > Tühjendage võtmed mälust, kui sisestatakse uus seade
    • Süsteem > Seaded > Windows > Enable Secure Desktop (Turvaline töölaud)
  • Mine süsteemi ja vali Create Hidden Operating System (loo varjatud operatsioonisüsteem)
  • Loe kõik juhised põhjalikult läbi
  • Vali Single-Boot, kui seda küsitakse
  • Loo välismälu, kasutades AES ja SHA-512.
  • Kasutage kogu teise partitsiooni vaba ruumi Outer Volume'i jaoks
  • Kasutage tugevat paroollauset (pidage meeles lisa A2: paroolide ja paroollausete suunised).
  • Valige "Jah" valikule "Suured failid".
  • Looge natuke entroopiat, liigutades hiirt, kuni riba on täis ja valige NTFS (ärge valige exFAT, sest me tahame, et see väline maht näeks välja "normaalne" ja NTFS on normaalne).
  • Vormäära välimine köide
  • Avage Outer Volume:
    • Selles etapis peaksite kopeerima peibutusandmed välisele andmekandjale. Seega peaks teil olema mõned tundlikud, kuid mitte nii tundlikud failid/kaustad, mida sinna kopeerida. Juhul, kui teil on vaja avaldada sellele köitele parool. See on hea koht teie Anime/Mp3/Filmid/*****okogu jaoks.
    • Ma soovitan teil mitte täita välimine maht liiga palju või liiga vähe (umbes 40%). Pea meeles, et pead jätma piisavalt ruumi Hidden OS jaoks (mis on sama suur kui esimene partitsioon, mille sa installeerimise ajal lõid).
  • Kasutage Hidden Volume'i jaoks tugevat salasõna (ilmselt teistsugust kui Outer Volume'i jaoks).
  • Nüüd loote Hidden Volume'i, valige AES ja SHA-512.
  • Täitke entroopiariba lõpuni juhusliku hiire liikumisega
  • Vormäära varjatud köide
  • Jätkake kloonimisega
  • Veracrypt käivitab nüüd uuesti ja kloonib selle Windowsi, kust Sa seda protsessi alustasid, Hidden Volume'ile. Sellest Windowsist saab Sinu Hidden OS.
  • Kui kloonimine on lõppenud, siis Veracrypt taaskäivitub Hidden System'i sees
  • Veracrypt teatab teile, et Hidden System on nüüd installeeritud ja seejärel palub teil kustutada Original OS (see, mille te varem USB võtmega installeerisite).
  • Kasutage 1-Pass Wipe ja jätkake.
  • Nüüd on teie Hidden OS installeeritud, jätkake järgmise sammuga

5. samm: Taaskäivita ja booti USB võtmega ning alusta uuesti Windows 10 installeerimisprotsessi (Decoy OS).


Nüüd, kui Hidden OS on täielikult installeeritud, tuleb Sul installeerida Decoy OS.


  • Sisestage USB-mäluseade oma sülearvutisse
  • Vaata lisa A: Windowsi installeerimine ja asenda uuesti Windows 10 Home (ära installeeri teist versiooni ja jää Home'i juurde).

Samm 6: Privaatsusseaded (Decoy OS)


Vaata lisa B: Windowsi täiendavad privaatsusseaded


Samm 7: Veracrypti paigaldamine ja krüpteerimisprotsessi käivitamine (Decoy OS)


Nüüd krüpteerime Decoy OS-i:


  • Installime Veracrypti
  • Käivitage VeraCrypt
  • Valige süsteem
  • Valige Encrypt System Partition/Drive
  • Valige Normal (Lihtne)
  • Valige Single-Boot
  • Valige krüpteerimisalgoritmiks AES (klõpsake nupule test, kui soovite kiirust võrrelda)
  • Valige SHA-512 hash Algoritmiks (sest miks mitte).
  • Sisestage lühike nõrk parool (jah, see on tõsine, tehke seda, seda selgitatakse hiljem).
  • Koguge natuke entroopiat, liigutades juhuslikult kursorit, kuni riba on täis
  • Klõpsake Next kui ekraanil Generated Keys (genereeritud võtmed)
  • Päästa ketas või mitte päästa ketas, noh, see on sinu otsustada. Soovitan teha ühe (igaks juhuks), ainult veenduge, et salvestate seda väljaspool oma krüpteeritud ketast (näiteks USB-võtit või oodake ja vaadake selle juhendi lõpus juhiseid turvaliste varukoopiate kohta). See päästeketas ei salvesta teie salasõna ja selle kasutamiseks on seda ikkagi vaja.
  • Pühkimisrežiim: Valige kindluse mõttes 1-Pass
  • Eeltestige oma seadistust. Veracrypt taaskäivitab nüüd teie süsteemi, et testida alglaadijat enne krüpteerimist. See test peab krüpteerimiseks läbima.
  • Pärast arvuti taaskäivitamist ja testi läbimist. Veracrypt palub teil alustada krüpteerimisprotsessi.
  • Alustage krüpteerimist ja oodake selle lõpuleviimist.
  • Teie Decoy OS on nüüd kasutusvalmis.

8. samm: Testige oma seadistust (Boot in Both)


Aeg testida oma seadistust.


  • Taaskäivitage ja sisestage oma Hidden OS-i parool, te peaksite käivituma Hidden OS-is.
  • Taaskäivitage ja sisestage oma Decoy OS paroolfraas, te peaksite käivituma Decoy OS-is.
  • Käivitage Veracrypt Decoy OS-is ja paigaldage teine partitsioon, kasutades Outer Volume Passphrase'i (paigaldage see ainult lugemiseks, minnes Mount Options ja valides Read-Only) ja see peaks paigaldama teise partitsiooni ainult lugemiseks, näidates teie peibutusandmeid (teie Anime/*****okogu). Te monteerite selle nüüd ainult lugemiseks, sest kui te peaksite sinna andmeid kirjutama, siis võiksite oma Hidden OS-i sisu üle kirjutada.

Samm 9: Peibutusandmete muutmine teie välises köites ohutult


Enne järgmise sammu juurde minekut peaksite õppima, kuidas oma Outer Volume'i turvaliselt monteerida, et sinna sisu kirjutada. Seda selgitatakse ka selles ametlikus Veracrypt dokumentatsioonis https://www.veracrypt.fr/en/Protection of Hidden Volumes. html [Archive.org].


Te peaksite seda tegema turvalisest usaldusväärsest kohast.


Põhimõtteliselt hakkate te oma Outer Volume'i mountima, andes samal ajal Mount Options'is ka Hidden Volume'i parooli, et kaitsta Hidden Volume'i ülekirjutamise eest. Veracrypt lubab teil seejärel kirjutada andmeid Outer Volume'ile, ilma et riskiksite Hidden Volume'i andmete ülekirjutamisega.


See toiming ei ühenda tegelikult Hidden Volume'i ja peaks takistama igasuguste kohtuekspertiisi tõendite loomist, mis võiksid viia Hidden OS-i avastamiseni. Selle toimingu sooritamise ajal salvestatakse aga mõlemad paroolid RAM-i ja seetõttu võite olla endiselt vastuvõtlik Cold-Boot rünnakule. Selle leevendamiseks veenduge, et teil on võimalus ka RAM-i krüpteerida.


  • Avage Veracrypt
  • Valige oma teine partitsioon
  • Klõpsake Mount
  • Klõpsake Mount Options
  • Märkige "Protect the Hidden volume..." Valik
  • Sisestage Hidden OS paroolifraas
  • Klõpsake OK
  • Sisestage oma välise mahu paroolifraas
  • Klõpsake OK
  • Nüüd peaks teil olema võimalik avada ja kirjutada oma välise mahu sisu muutmiseks (kopeerimine/liigutamine/kustutamine/töötlemine...).

Samm 10: Jätke oma välimise mahu (koos peibutusandmetega) kohtuekspertiisi tõendid oma peibutus-OS-i sisse


Peame tegema Decoy OS-i võimalikult usutavaks. Samuti tahame, et teie vastane arvaks, et te ei ole nii nutikas.


Seetõttu on oluline jätta oma Decoy OS-i sisse vabatahtlikult mõned kohtuekspertiisi tõendid oma Decoy Content'i kohta. Need tõendid lasevad kohtuekspertiisil näha, et te paigaldasite oma välise mahu sageli, et pääseda ligi selle sisule.


Siin on häid näpunäiteid mõningate kohtuekspertiisi tõendite jätmiseks:


  • Mängige oma Decoy OS-i välise köite sisu (näiteks VLC abil). Hoidke neist kindlasti ajalugu.
  • Redigeerige dokumente ja töötage neis.
  • Lülitage Decoy OS-is uuesti sisse failide indekseerimine ja kaasake monteeritud väline köide.
  • Avage see ja monteerige see sageli, et vaadata mõnda sisu.
  • Kopeerige mõni Content oma Outer Volume'ist Decoy OS-i ja seejärel kustutage see ebaturvaliselt (pange see lihtsalt prügikasti).
  • Laske Decoy OS-i paigaldada Torrent Client, kasutage seda aeg-ajalt, et laadida alla mõned sarnased asjad, mida te jätate Decoy OS-i.
  • Sul võiks olla Decoy OS-i paigaldatud VPN-klient koos sinu teadaoleva VPN-iga (mittemaksuline tasuline).

Ärge pange Decoy OS-i midagi kahtlast, nagu näiteks:


  • See juhend
  • Kõik lingid sellele juhendile
  • Igasugune kahtlane anonüümsuse tarkvara nagu Tor Browser

Märkused.


Pea meeles, et selle usutava eitamise stsenaariumi toimimiseks on vaja kehtivaid vabandusi:


Võtke aega, et lugeda uuesti Veracrypti dokumentatsiooni "Possible Explanations for Existence of Two Veracrypt Partitions on Single Drive" siin https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


  • Sa kasutad Veracrypt'i, sest Sa kasutad Windows 10 Home'i, mis ei sisalda Bitlockerit, kuid soovisid siiski Privacy'i.
  • Sul on kaks partitsiooni, sest Sa tahtsid eraldada süsteemi ja andmeid lihtsamaks organiseerimiseks ja kuna mingi Geek sõber ütles, et see on parem jõudluse seisukohalt.
  • Sa oled kasutanud nõrka salasõna, et Süsteemil oleks lihtne ja mugav käivitada, ja tugevat pikka salasõna välise Volume'ile, sest Sa olid liiga laisk, et igal käivitamisel tugevat salasõna sisestada.
  • Te krüpteerisite teise partitsiooni teistsuguse parooliga kui System, sest te ei taha, et keegi teie lähikonnast teie asju näeks. Ja seega ei tahtnud te, et need andmed oleksid kellelegi kättesaadavad.

Olge ettevaatlik:


  • Sa ei tohiks kunagi paigaldada peidetud köidet peibutus OS-ist (EI KUNAGI). Kui te seda teeksite, siis tekitab see kohtuekspertiisi tõendeid Hidden Volume'i kohta Decoy OS-i sees, mis võib ohustada teie püüdlusi usutavaks eitamiseks. Kui te tegite seda ikkagi (tahtlikult või kogemata) Decoy OSist, on olemas viisid, kuidas kustutada kohtuekspertiisi tõendeid, mida selgitatakse hiljem selle juhendi lõpus.
  • Ärge kunagi kasutage Decoy OS-i samast võrgust (avalik Wi-Fi) kui Hidden OS-i.
  • Kui te ühendate Decoy OS-i välise mahu, ärge kirjutage välise mahu sees mingeid andmeid, sest see võib üle kirjutada selle, mis näeb välja nagu tühi ruum, kuid on tegelikult teie peidetud OS. Te peaksite selle alati ainult lugemiseks mountima.
  • Kui te soovite muuta Decoy Outer Volume'i sisu, peaksite kasutama Live OS USB-võtit, mis käivitab Veracrypti.
  • Pange tähele, et te ei kasuta Hidden OS-i tundlike tegevuste teostamiseks, seda tehakse hiljem VM-ist Hidden OS-i sees. Hidden OS on mõeldud ainult selleks, et kaitsta teid pehmete vastaste eest, kes võivad saada juurdepääsu teie sülearvutile ja sundida teid oma salasõna avaldama.
  • Olge ettevaatlik oma sülearvutiga manipuleerimise suhtes. Evil-Maid rünnakud võivad teie peidetud OS-i paljastada.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Virtualbox oma vastuvõtvas operatsioonisüsteemis.


Pidage meeles lisa W: Virtualiseerimine.


See samm ja järgmised sammud tuleb teha Host OS-is. See võib olla kas teie Host OS lihtsa krüpteerimisega (Windows/Linux/MacOS) või teie Hidden OS usutava eitamisega (ainult Windows).


Sellel marsruudil kasutame ulatuslikult tasuta Oracle Virtualbox tarkvara. See on virtualiseerimistarkvara, millega saab luua Virtual Machines, mis emuleerib arvutit, kus töötab konkreetne OS (kui soovite kasutada midagi muud, nagu Xen, Qemu, KVM või VMWARE, siis tehke seda julgelt, kuid see osa juhendist käsitleb mugavuse huvides ainult Virtualboxi).


Niisiis, sa peaksid olema teadlik, et Virtualbox ei ole turvalisuse osas kõige paremate tulemustega virtualiseerimistarkvara ja mõned teatatud probleemid ei ole tänaseni täielikult lahendatud ning kui sa kasutad Linuxi, millel on natuke rohkem tehnilisi oskusi, siis peaksid sa kaaluma selle asemel KVM-i kasutamist, järgides Whonixi juhendit, mis on saadaval siin https://www.whonix.org/wiki/KVM [Archive.org] ja siin https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


Mõned sammud tuleks igal juhul astuda:


Kõik Sinu tundlikud tegevused toimuvad külalisvirtuaalmasinas, kus töötab Windows 10 Pro (seekord mitte Home), Linux või MacOS.


Sellel on mõned eelised, mis aitavad teil suuresti jääda anonüümseks:


  • See peaks takistama, et külalis-VM-i operatsioonisüsteem (Windows/Linux/MacOS), rakendused ja mis tahes telemeetria VM-i sees ei pääseks otse teie riistvarale ligi. Isegi kui teie VM-i ohustab pahavara, ei tohiks see pahavara VM-i ja teie tegelikku sülearvutit ohustada.
  • See võimaldab meil sundida kogu võrguliiklust teie kliendi VM-ist läbi teise Gateway VM-i, mis suunab (torifitseerib) kogu liikluse Tor-võrgu poole. See on võrgu "kill switch". Teie VM kaotab täielikult oma võrguühenduse ja läheb offline, kui teine VM kaotab oma ühenduse Tor-võrguga.
  • VM ise, millel on internetiühendus ainult Tor-võrgu värava kaudu, ühendub teie rahas makstava VPN-*****usega läbi Tor'i.
  • DNS lekked on võimatud, sest VM on isoleeritud võrgus, mis peab minema läbi Tor'i, ükskõik mis toimub.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Valige oma ühendamismeetod.


Sellel marsruudil on 7 võimalust:


  • Soovitatav ja eelistatud:
    • Kasuta ainult Tor (Kasutaja > Tor > Internet).
    • Kasutage konkreetsetel juhtudel VPN-i üle Tori (Kasutaja > Tor > VPN > Internet).
  • Võimalik, kui kontekst seda nõuab:
    • Kasutage VPN-i üle Tor-i üle VPN-i (Kasutaja > VPN > Tor > VPN > Internet).
    • Kasutada Torit üle VPNi (Kasutaja > VPN > Tor > Internet).
  • Ei ole soovitatav ja riskantne:
    • Kasutage ainult VPN-i (Kasutaja > VPN > Internet).
    • Kasutage VPN-i üle VPN-i (Kasutaja > VPN > VPN > Internet).
  • Ei soovitata ja on väga riskantne (kuid võimalik).
    • Ei mingit VPN-i ega Tor'i (Kasutaja > Internet)
2021 08 05 08 06

Ainult Tor.


See on eelistatud ja kõige soovitatavam lahendus.
2021 08 05 08 06 1

Selle lahenduse puhul käib kogu teie võrk läbi Tori ja see peaks olema enamikul juhtudel piisav, et tagada teie anonüümsus.


Siiski on üks peamine puudus: mõned *****used blokeerivad/ keelavad Tor Exit-sõlmede kasutamise täielikult ja ei luba nende kaudu kontode loomist.


Selle leevendamiseks peate võib-olla kaaluma järgmist varianti: VPN over Tor, kuid arvestage mõningaid sellega seotud riske, mida selgitatakse järgmises jaotises.


VPN/Proxy üle Tori.


See lahendus võib mõnel konkreetsel juhul tuua mõningaid eeliseid võrreldes ainult Tori kasutamisega, kui juurdepääs siht*****usele oleks Tor Exit-sõlme kaudu võimatu. Seda seetõttu, et paljud *****used lihtsalt keelavad, takistavad või blokeerivad Tor'i (vt https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Nagu näete sellel illustratsioonil, kui teie raha (eelistatud)/Monero tasuline VPN/Proxy on kompromiteeritud vastase poolt (vaatamata nende privaatsusavaldusele ja mitte-logimise poliitikale), leiavad nad ainult anonüümse raha/Monero tasulise VPN/Proxy konto, mis ühendab nende *****useid Tor Exit sõlme.
2021 08 05 08 07

Kui vastasel õnnestub kuidagi ka Tor-võrku kompromiteerida, paljastavad nad ainult juhusliku avaliku Wi-Fi IP-aadressi, mis ei ole seotud teie identiteediga.


Kui vastane kuidagi kompromiteerib teie VM OS-i (näiteks pahavara või ärakasutamisega), jääb ta Whonixi sisevõrku ja ei peaks suutma avalikust Wi-Fi-ühendusest IP-d paljastada.


Sellel lahendusel on siiski üks peamine puudus, mida tuleb arvesse võtta: Häirimine Tor Stream Isolation'ile.


Stream isolatsioon on leevendustehnika, mida kasutatakse mõnede korrelatsioonirünnakute vältimiseks, kuna iga rakenduse jaoks on olemas erinevad Tor-ahelad. Siin on illustratsioon, mis näitab, mis on voo isoleerimine:
2021 08 05 08 08

(Illustratsioon Marcelo Martinsilt, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy over Tor jääb paremale poole, mis tähendab, et VPN/Proxy kasutamine üle Tori sunnib Tor'i kasutama ühte vooluahelat kõigi tegevuste jaoks, mitte mitut vooluahelat iga tegevuse jaoks. See tähendab, et VPN/Proxy kasutamine üle Tori võib mõnel juhul mõnevõrra vähendada Tori tõhusust ja seetõttu tuleks seda kasutada ainult teatud erijuhtudel:


  • Kui teie sihtkoha *****us ei luba Tor Exit-sõlmede kasutamist.
  • Kui te ei pahanda, et kasutate erinevate *****uste jaoks ühist Tor-ahelat. Nagu näiteks erinevate autenditud *****uste kasutamiseks.

Te peaksite siiski kaaluma selle meetodi mitte kasutamist, kui teie eesmärk on lihtsalt sirvida juhuslikult erinevaid autentimata veebilehti, kuna te ei saa kasu Stream Isolationist ja see võib aja jooksul muuta vastase jaoks korrelatsioonirünnakud iga teie seansi vahel lihtsamaks (vt Teie anonüümne Tor/VPN-liiklus). Kui teie eesmärk on aga kasutada sama identiteeti igal seansil samades autentitud *****ustes, väheneb Stream Isolationi väärtus, kuna teid saab korreleerida teiste vahendite abil.


Samuti peaksite teadma, et Stream Isolation ei pruugi Whonix Workstationis olla vaikimisi konfigureeritud. See on eelkonfigureeritud ainult mõnede rakenduste jaoks (sealhulgas Tor Browser).


Pange ka tähele, et Stream Isolation ei pruugi muuta kõiki sõlmi teie Tor-ahelas. Mõnikord võib see muuta ainult ühte või kahte. Paljudel juhtudel muudab Stream Isolation (näiteks Tor Browseris) ainult releesõlme (keskmist) ja väljumissõlme, säilitades samal ajal sama valvurisõlme (sisenemissõlme).


Lisateave aadressil:



Tor üle VPN.


Sa võid imestada: Noh, kuidas oleks, kui kasutaksime Tor over VPN asemel VPN over Tor? Noh, ma ei pruugi seda teha:


  • Puudused
    • Teie VPN-*****usepakkuja on lihtsalt üks teine Interneti-*****usepakkuja, kes teab siis teie päritolu-IP-d ja saab teid vajadusel de-anonüümseks muuta. Me ei usalda neid. Ma eelistan olukorda, kus teie VPN-*****use pakkuja ei tea, kes te olete. See ei lisa anonüümsuse osas palju.
    • See tooks kaasa selle, et te ühendute erinevate *****ustega, kasutades Tor Exit Node'i IP-d, mis on paljudes kohtades keelatud/liputatud. See ei aita mugavuse mõttes.
  • Eelised:
    • Peamine eelis on tõesti see, et kui olete vaenulikus keskkonnas, kus Torile juurdepääs on võimatu/ohtlik/vastuoluline, kuid VPN on okei.
    • See meetod ei riku ka Tor Stream isolatsiooni.

Märkus: kui teil on probleeme Tor-võrgule juurdepääsuga blokeerimise/tsensuuri tõttu, võite proovida kasutada Tor Bridges'i. Vt lisa X: Tori sildade kasutamine vaenulikes keskkondades.


Samuti on võimalik kaaluda VPN-i kasutamist üle Tor over VPN-i (User > VPN > Tor > VPN > Internet), kasutades selle asemel kahte tasulist/Monero tasulist VPN-i. See tähendab, et te ühendate Host OS-i esimese VPN-i avaliku Wi-Fi kaudu, seejärel ühendab Whonix Toriga ja lõpuks ühendab teie VM-i teise VPN-i üle Tor over VPN-i (vt https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


See mõjutab muidugi oluliselt jõudlust ja võib olla üsna aeglane, kuid ma arvan, et Tor on kuskil vajalik mõistliku anonüümsuse saavutamiseks.


Selle saavutamine on tehniliselt lihtne selle marsruudi raames, teil on vaja kahte eraldi anonüümset VPN-kontot ja peate ühenduma esimese VPN-iga Host OS-ist ja järgima marsruuti.


Kokkuvõte: Tehke seda ainult siis, kui arvate, et ainult Tor'i kasutamine on riskantne/võimatu, kuid VPN-id on okei. Või lihtsalt sellepärast, et te saate ja miks mitte.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Ainult VPN.


Seda marsruuti ei selgitata ega soovitata.


Kui te saate kasutada VPN-i, siis peaksite suutma lisada selle peale Tor-kihi. Ja kui te saate kasutada Tor'i, siis võite lisada anonüümse VPN-i üle Tor'i, et saada eelistatud lahendus.


Lihtsalt VPN-i või isegi VPN-i üle VPN-i kasutamine ei ole mõttekas, kuna neid saab aja jooksul teie juurde tagasi jälgida. Üks VPN-*****use pakkujatest teab teie tegelikku päritolu-IP-d (isegi kui see on turvalises avalikus ruumis) ja isegi kui te lisate ühe üle selle, siis teine teab ikkagi, et kasutasite seda teist esimest VPN-*****ust. See viivitab teie anonüümsuse kaotamist vaid pisut. Jah, see on lisatud kiht ... kuid see on püsiv tsentraliseeritud lisatud kiht ja teid saab aja jooksul de-anonüümseks muuta. See on lihtsalt 3 ISPde ahelamine, mis kõik alluvad seaduslikele taotlustele.


Lisateavet leiate järgmistest viidetest:



Käesoleva juhendi kontekstis on Tor vajalik kuskil mõistliku ja turvalise anonüümsuse saavutamiseks ja kui saate, siis peaksite seda kasutama.


VPN/Tor puudub.


Kui te ei saa kasutada VPN-i ega Tor'i seal, kus te olete, siis olete tõenäoliselt väga vaenulikus keskkonnas, kus jälgimine ja kontroll on väga suur.


Lihtsalt mitte, see ei ole seda väärt ja IMHO liiga riskantne. Teid võib de-anonüümseks muuta peaaegu koheselt iga motiveeritud vastane, kes võib teie füüsilisele asukohale jõuda mõne minutiga.


Ärge unustage vaadata tagasi vastaseid (ohud) ja lisa S: Kontrollige oma võrku jälgimise/tsensuuri suhtes OONI abil.


Kui teil ei ole absoluutselt muud võimalust ja soovite siiski midagi teha, vaadake lisa P: Võimalikult turvaline juurdepääs internetile, kui Tor/VPN ei ole võimalus (omal riisikol) ja kaaluge selle asemel The Tails'i marsruuti.


Kokkuvõte.

2021 08 05 08 11

Kahjuks tekitab ainuüksi Tori kasutamine kahtluse paljude sihtkohtade platvormide suhtes. Kui kasutate ainult Tor'i, seisate silmitsi paljude takistustega (captchas, vead, registreerimisraskused). Lisaks sellele võib Tori kasutamine seal, kus te olete, teid juba ainuüksi selle pärast hätta ajada. Kuid Tor on endiselt parim lahendus anonüümsuse jaoks ja peab olema kuskil anonüümsuse jaoks.


  • Kui teie eesmärk on luua püsivaid jagatud ja autentitud identiteete erinevates *****ustes, kuhu on raske Torist ligi pääseda, siis soovitan VPN over Tor varianti (või vajadusel VPN over Tor over VPN). See võib olla veidi vähem turvaline korrelatsioonirünnakute vastu Tor Stream isolatsiooni murdmise tõttu, kuid pakub palju paremat mugavust veebiressurssidele juurdepääsul kui lihtsalt Tor'i kasutamine. See on "vastuvõetav" kompromiss IMHP, kui olete oma identiteediga piisavalt ettevaatlik.
  • Kui teie eesmärk on aga lihtsalt sirvida juhuslikke *****useid anonüümselt ilma konkreetsete jagatud identiteetide loomiseta, kasutades Tor-sõbralikke *****useid; või kui te ei taha seda kompromissi eelmise variandi puhul aktsepteerida. Siis soovitan kasutada ainult Tor'i marsruuti, et säilitada kõik Stream Isolation'i eelised (või Tor over VPN, kui see on vajalik).
  • Kui kulud on probleemiks, siis soovitan võimaluse korral valida Tor Only.
  • Kui nii Tor kui ka VPN-juurdepääs on võimatu või ohtlik, siis ei ole teil muud valikut, kui toetuda ohutult avalikule wi-file. Vt lisa P: Võimalikult turvaline juurdepääs internetile, kui Tor ja VPN ei ole võimalik.

Lisateavet saate ka siinsetest aruteludest, mis võivad aidata teil endal otsustada:


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Hankige anonüümne VPN/Proxy.


Jätke see samm vahele, kui soovite kasutada ainult Tor'i.


Vt lisa O: Anonüümse VPN/Proxy hankimine.


Whonix.


Jäta see samm vahele, kui sa ei saa kasutada Tor'i.


See marsruut kasutab anonümiseerimise osana Virtualiseerimist ja Whonix309. Whonix on Linuxi distributsioon, mis koosneb kahest virtuaalsest masinast:


  • Whonix Workstation (see on VM, kus saate teostada tundlikke tegevusi).
  • Whonix Gateway (see VM loob ühenduse Tor-võrguga ja suunab kogu tööjaama võrguliikluse läbi Tor-võrgu).

Selles juhendis pakutakse seega välja selle marsruudi 2 maitset:


  • Ainult Whonixi marsruut, kus kogu liiklus suunatakse läbi Tor-võrgu (Tor Only või Tor over VPN).
2021 08 05 08 13

Whonixi hübriidne marsruut, kus kogu liiklus suunatakse läbi (eelistatud)/Monero tasulise VPN-i üle Tor-võrgu (VPN over Tor või VPN over Tor over VPN).

2021 08 05 08 13 1

Saate otsustada, millist maitset kasutada minu soovituste põhjal. Soovitan teist, nagu eelnevalt selgitatud.


Whonix on hästi hooldatud ja sellel on ulatuslik ja uskumatult üksikasjalik dokumentatsioon.


Märkus Virtualboxi hetkepilti kohta.


Hiljem loote ja käivitate Virtualboxis mitu virtuaalset masinat oma tundlike tegevuste jaoks. Virtualbox pakub funktsiooni nimega "Snapshots", mis võimaldab salvestada VM-i olekut igal ajahetkel. Kui te soovite hiljem mingil põhjusel sellesse olekusse tagasi pöörduda, saate selle hetkefoto igal hetkel taastada.


Soovitan tungivalt kasutada seda funktsiooni, luues hetkeseisu pärast iga VM-i esmast paigaldamist/uuendamist. See hetkeseade tuleks teha enne nende kasutamist mis tahes tundlikuks/anonüümseks tegevuseks.


See võimaldab teil muuta oma VM-d mingiks ühekordselt kasutatavaks "Live Operating Systems" (nagu varem käsitletud Tails). See tähendab, et te saate kustutada kõik oma tegevuse jäljed VM-is, taastades Snapshot'i varasemasse olekusse. Loomulikult ei ole see "sama hea" kui Tails (kus kõik on salvestatud mällu), sest kõvakettale võivad jääda jäljed sellest tegevusest. Kohtuekspertiisiuuringud on näidanud, et andmeid on võimalik taastada taastatud VM-ist. Õnneks leidub võimalusi nende jälgede eemaldamiseks pärast kustutamist või tagasipöördumist eelmisele hetkekuvale. Selliseid tehnikaid käsitletakse käesoleva juhendi peatükis Mõned täiendavad meetmed kohtuekspertiisi vastu.


Laadige alla Virtualboxi ja Whonixi utiliidid.


Te peaksite alla laadima mõned asjad peremees-operatsioonisüsteemis.



Sellega on ettevalmistused lõpetatud ja nüüd peaksite olema valmis alustama lõpliku keskkonna seadistamist, mis kaitseb teie anonüümsust internetis.


Virtualboxi karastamise soovitused.


Ideaalse turvalisuse tagamiseks peaksite järgima siin esitatud soovitusi iga Virtualboxi virtuaalmasina kohta https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:


  • Lülitage audio välja.
  • Ärge lubage Shared Folders (jagatud kaustad).
  • Ärge lubage 2D kiirendust. Seda tehakse järgmise käsuga VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
  • Ärge lubage 3D kiirendust.
  • Ärge lubage jadaporti.
  • Eemaldage disketiplaat.
  • Eemaldage CD/DVD draiver.
  • Ärge lubage Remote Display serverit.
  • Lülitage PAE/NX sisse (NX on turvafunktsioon).
  • Lülita välja A*****I (Advanced Configuration and Power Interface). Seda tehakse järgmise käsuga VBoxManage modifyvm "vm-id" --a*****i on|off
  • Ärge ühendage USB-seadmeid.
  • Lülita USB-kontroller välja, mis on vaikimisi sisse lülitatud. Seadke Pointing Device'ks "PS/2 Mouse" või muudatused pöörduvad tagasi.

Lõpuks järgige ka seda soovitust, et desünkroniseerida kell, mida te olete oma VM võrreldes oma host OS https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]


See nihkumine peaks olema 60000 millisekundi vahemikus ja peaks olema iga VM-i puhul erinev ja siin on mõned näited (mida saab hiljem rakendada iga VM-i suhtes):


  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Kaaluge ka nende leevenduste rakendamist VirtualBoxist, et leevendada Spectre/Meltdowni haavatavusi, käivitades selle käsu VirtualBoxi programmikataloogist. Kõiki neid on kirjeldatud siin: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (olge teadlik, et need võivad tõsiselt mõjutada teie VMide jõudlust, kuid neid tuleks teha parima turvalisuse tagamiseks).


Lõpuks kaaluge Virtualboxi enda poolt antud turvanõuandeid siin: https: //www.virtualbox.org/manual/ch13.html [Archive.org].
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Tor over VPN.


Jätke see samm vahele, kui te ei kavatse kasutada Tor over VPN-i ja kavatsete kasutada ainult Tor'i või ei saa.


Kui te kavatsete mingil põhjusel kasutada Tor over VPN-i. Peate kõigepealt konfigureerima VPN-*****use oma vastuvõtvas operatsioonisüsteemis.


Pidage meeles, et sel juhul soovitan teil olla kaks VPN-kontot. Mõlemad on tasutud sularahaga/Monero (vt lisa O: Anonüümse VPN/Proxy hankimine). Ühte kasutatakse Host OS-is esimese VPN-ühenduse loomiseks. Teist võiks kasutada VM-is, et saavutada VPN üle Tor over VPN (User > VPN > Tor > VPN).


Kui kavatsete kasutada ainult Tor over VPN-i, on vaja ainult ühte VPN-kontot.


Juhiseid vt lisa R: VPN-i paigaldamine VM-i või Host OS-i.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Whonix Virtual Machines.


Jätke see samm vahele, kui te ei saa kasutada Tor'i.



Pidage selles etapis meeles, et kui teil on tsensuuri või blokeerimise tõttu probleeme Toriga ühendumisega, siis peaksite kaaluma ühendamist Bridges'i abil, nagu on selgitatud selles õpetuses https://www.whonix.org/wiki/Bridges [Archive.org].



Oluline märkus: Sa peaksid lugema ka neid väga häid soovitusi seal https://www.whonix.org/wiki/DoNot [Archive.org] , sest enamik neist põhimõtetest kehtib ka selle juhendi puhul. Samuti peaksite lugema nende üldist dokumentatsiooni siin https://www.whonix.org/wiki/Documentation [Archive.org] , mis annab samuti hulgaliselt nõuandeid nagu see juhend.
 
Top