Sprievodca anonymitou online (podľa https://anonymousplanet.org/)

Používajte na vlastné riziko. Túto príručku neberte ako definitívnu pravdu o všetkom, pretože ňou nie je.
  • Úvod:
  • Pochopenie niektorých základov toho, ako môžu niektoré informácie viesť späť k vám a ako niektoré zmierniť:
    • Vaša sieť:
      • Vaša IP adresa:
      • Vaše požiadavky na DNS a IP:
      • Vaše zariadenia s podporou RFID:
      • Zariadenia Wi-Fis a Bluetooth vo vašom okolí:
      • Prístupové body Wi-Fi so škodlivými/neprimeranými vlastnosťami:
      • Anonymizovaná prevádzka Tor/VPN:
      • Niektoré zariadenia možno sledovať aj v režime offline:
    • Vaše hardvérové identifikátory:
      • Vaše IMEI a IMSI (a tým aj vaše telefónne číslo):
      • Vaša adresa Wi-Fi alebo Ethernet MAC:
      • Vaša adresa MAC Bluetooth:
    • Váš procesor:
    • Vaše operačné systémy a telemetrické služby aplikácií:
    • Vaše inteligentné zariadenia vo všeobecnosti:
    • Vy sami:
      • Vaše metadáta vrátane vašej geografickej polohy:
      • Váš digitálny odtlačok prsta, stopa a online správanie:
      • Vaše stopy o vašom reálnom živote a OSINT:
      • Vaša tvár, hlas, biometrické údaje a obrázky:
      • Phishing a sociálne inžinierstvo:
    • Malware, exploity a vírusy:
      • Malvér vo vašich súboroch/dokumentoch/e-mailoch:
      • Malvér a exploity vo vašich aplikáciách a službách:
      • Škodlivé zariadenia USB:
      • Malvér a zadné vrátka vo vašom hardvérovom firmvéri a operačnom systéme:
    • Vaše súbory, dokumenty, obrázky a videá:
      • Vlastnosti a metadáta:
      • Vodoznaky:
      • Pixelizované alebo rozmazané informácie:
    • Vaše transakcie v kryptografických menách:
    • Vaše cloudové zálohovanie/synchronizačné služby:
    • Vaše odtlačky prehliadača a zariadenia:
    • Lokálne úniky údajov a forenzné analýzy:
    • Zlá kryptografia:
    • Žiadne protokolovanie, ale politiky protokolovania aj tak:
    • Niektoré pokročilé cielené techniky:
    • Niektoré bonusové zdroje:
    • Poznámky:
  • Všeobecné prípravy:
    • Výber trasy:
      • Časové obmedzenia:
      • Obmedzenia rozpočtu/materiálu:
      • Zručnosti:
      • Protivníci (hrozby):
    • Kroky pre všetky trasy:
      • Získajte anonymné telefónne číslo:
      • Získajte USB kľúč:
      • Nájdite si bezpečné miesta so slušným verejným Wi-Fi pripojením:
    • Trasa TAILS:
      • Trvalá pravdepodobná popierateľnosť pomocou služby Whonix v rámci služby TAILS:
    • Kroky pre všetky ostatné trasy:
      • Získajte špecializovaný notebook na citlivé činnosti:
      • Niektoré odporúčania týkajúce sa notebookov:
      • Bios/UEFI/Firmware Nastavenia vášho notebooku:
      • Fyzicky chráňte svoj notebook pred neoprávnenou manipuláciou:
    • Cesta Whonix:
      • Výber hostiteľského operačného systému (OS nainštalovaného v notebooku):
      • Hostiteľský OS Linux:
      • MacOS Hostiteľský OS:
      • Windows Hostiteľský OS:
      • Virtualbox na vašom hostiteľskom OS:
      • Vyberte si spôsob pripojenia:
      • Získajte anonymnú VPN/Proxy:
      • Whonix:
      • Tor cez VPN:
      • Whonix: Virtuálne stroje:
      • Vyberte si hosťujúcu pracovnú stanicu Virtuálny stroj:
      • Virtuálny stroj Linux (Whonix alebo Linux):
      • Windows 10 Virtual Machine:
      • Virtuálny stroj: Android Virtuálny stroj:
      • Virtuálny stroj: MacOS Virtuálny stroj:
      • KeepassXC:
      • Inštalácia klienta VPN (platené v hotovosti/Monero):
      • (Voliteľné) umožňuje prístup na internet len virtuálnym počítačom a zároveň odrezáva hostiteľský operačný systém, aby sa zabránilo úniku informácií:
      • Záverečný krok:
    • Trasa Qubes:
      • Vyberte si spôsob pripojenia:
      • Získajte anonymnú VPN/Proxy:
      • Inštalácia:
      • Správanie pri zatváraní veka:
      • Pripojte sa k verejnej Wi-Fi:
      • Aktualizujte operačný systém Qubes:
      • OS Qubes: Aktualizujte operačný systém Qubes:
      • Nastavenie VPN ProxyVM:
      • Nastavenie bezpečného prehliadača v rámci Qube OS (voliteľné, ale odporúčané):
      • Nastavenie virtuálneho počítača so systémom Android:
      • KeePassXC:
  • Vytvorenie anonymných online identít:
    • Pochopenie metód používaných na zabránenie anonymity a overenie identity:
      • Captcha:
      • Overenie telefónu: Overenie telefónu:
      • Overenie e-mailom: Overenie e-mailom: Overenie e-mailom: Overenie e-mailom: Overenie e-mailom:
      • Overovanie údajov používateľa:
      • Overenie totožnosti:
      • IP filtre:
      • Odtlačky prstov prehliadača a zariadenia:
      • Interakcia s človekom:
      • Moderovanie používateľov:
      • Analýza správania:
      • Finančné transakcie:
      • Prihlásenie pomocou niektorej platformy:
      • Rozpoznávanie tváre a biometria (opäť):
      • Manuálne recenzie:
    • Získanie online:
      • Vytváranie nových identít:
      • Systém skutočných mien:
      • O platených službách:
      • Prehľad:
      • Ako anonymne zdieľať súbory alebo chatovať:
      • Redigovanie dokumentov/obrázkov/videí/zvukov bezpečne:
      • Komunikovanie citlivých informácií rôznym známym organizáciám:
      • Úlohy údržby:
  • Bezpečné zálohovanie práce:
    • Zálohovanie v režime offline:
      • Zálohovanie vybraných súborov:
      • Zálohovanie celého disku/systému:
    • Online Backups:
      • Files:
      • Information:
    • Synchronizácia súborov medzi zariadeniami Online:
  • Zakrývanie stôp:
    • Pochopenie HDD verzus SSD:
      • Wear-Leveling.
      • Operácie orezávania:
      • Zber odpadu:
      • Záver:
    • Ako bezpečne vymazať celý notebook/disky, ak chcete vymazať všetko:
      • Linux (všetky verzie vrátane Qubes OS):
      • Windows:
      • MacOS:
    • Ako bezpečne vymazať konkrétne súbory/priečinky/dáta na HDD/SSD a flash diskoch:
      • Windows:
      • Linux (okrem Qubes OS):
      • Linux (Qubes OS):
      • MacOS:
    • Niektoré ďalšie opatrenia proti kriminalistike:
      • Odstránenie metadát zo súborov/dokumentov/obrázkov:
      • TAILS:
      • Whonix:
      • MacOS:
      • Linux (Qubes OS): MacOS: Linux (Qubes OS):
      • Linux (non-Qubes):
      • Windows:
    • Odstránenie niektorých stôp po vašich identitách vo vyhľadávačoch a na rôznych platformách:
      • Google:
      • Bing:
      • DuckDuckGo:
      • Yandex:
      • Qwant:
      • Vyhľadávanie Yahoo:
      • Baidu:
      • Wikipédia: Baidu: Wikipedia:
      • Archive.today:
      • Internetový archív:
  • Niektoré staronové triky:
    • Skrytá komunikácia na očiach:
    • Ako zistiť, či niekto prehľadáva vaše veci:
  • Niekoľko posledných myšlienok o OPSEC:
  • Ak si myslíte, že ste sa popálili:
    • Ak máte trochu času:
    • Ak nemáte čas:
  • Malá redakčná poznámka na záver
 
Last edited by a moderator:

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Rozpočtové/materiálové obmedzenia.


  • Máte k dispozícii len jeden notebook a nemôžete si dovoliť nič iné. Tento notebook používate buď na prácu, rodinu, alebo na svoje osobné veci (alebo na oboje):
    • Najlepšou možnosťou je vybrať si riešenie Tails.
  • Môžete si dovoliť náhradný vyhradený notebook bez dozoru/monitorovania na citlivé činnosti:
    • Je však starý, pomalý a má zlé špecifikácie (menej ako 6 GB RAM, menej ako 250 GB miesta na disku, starý/pomalý procesor):
      • Mali by ste zvoliť cestu Tails.
    • Nie je taký starý a má slušné špecifikácie (aspoň 6 GB RAM, 250 GB miesta na disku alebo viac, slušný *****U):
      • Mohli by ste zvoliť trasy Tails, Whonix.
    • Je nový a má skvelé špecifikácie (viac ako 8 GB RAM, >250 GB miesta na disku, nedávny rýchly *****U):
      • Ak to váš model ohrozenia umožňuje, môžete zvoliť akúkoľvek trasu, ale odporúčal by som operačný systém Qubes.
    • Ak je to Mac M1 založený na ARM:
      • V súčasnosti to nie je možné z týchto dôvodov:
        • Virtualizácia obrazov x86 na počítačoch Mac s architektúrou ARM M1 je stále obmedzená na komerčný softvér (Parallels), ktorý zatiaľ nie je podporovaný spoločnosťou Whonix.
        • Virtualbox zatiaľ nie je k dispozícii pre architektúru ARM.
        • Whonix zatiaľ nie je podporovaný na architektúre ARM.
        • Tails zatiaľ nie je podporovaný na architektúre ARM.
        • Operačný systém Qubes zatiaľ nie je podporovaný na architektúre ARM.

Vašou jedinou možnosťou na Macoch M1 je pravdepodobne zatiaľ zostať pri Tor Browses. Ale odhadoval by som, že ak si môžete dovoliť Mac M1, mali by ste si pravdepodobne zaobstarať špecializovaný notebook x86 na citlivejšie činnosti.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Zručnosti.


  • Nemáte vôbec žiadne zručnosti v oblasti IT obsah tejto príručky vám pripadá ako cudzí jazyk?
    • Mali by ste sa vydať cestou Tails (s výnimkou časti o pretrvávajúcom hodnovernom popieraní).
  • Máte určité zručnosti v oblasti IT a zatiaľ tejto príručke väčšinou rozumiete
    • Mali by ste sa vybrať cestou Tails (vrátane časti o trvalom hodnovernom popieraní) alebo Whonix.
  • Máte stredné až vysoké zručnosti v oblasti IT a už poznáte časť obsahu tejto príručky
    • Môžete ísť s čímkoľvek, čo sa vám páči, ale dôrazne odporúčam operačný systém Qubes.
  • Ste l33T hacker, "nie je lyžička", "koláč je lož", roky používate "doas" a "všetky vaše základy patria nám" a máte vyhranené názory na systemd.
    • Tento návod naozaj nie je určený pre teba a nepomôže ti s tvojím HardenedBSD na tvojom hardened Libreboot notebooku ;-)

 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Protivníci (hrozby).


  • Ak je vaším hlavným záujmom forenzné skúmanie vašich zariadení:
    • Mali by ste sa vydať cestou Tails (s voliteľným trvalým hodnoverným popieraním).
  • Ak sú vašou hlavnou obavou vzdialení protivníci, ktorí by mohli odhaliť vašu online identitu na rôznych platformách:
    • Môžete zvoliť cestu Whonix alebo Qubes OS.
    • Mohli by ste zvoliť aj Tails (s voliteľnou trvalou hodnovernou popierateľnosťou).
  • Ak napriek rizikám chcete nevyhnutne dosiahnuť dôveryhodné popretie v rámci celého systému:
    • Mohli by ste zvoliť trasu Tails vrátane časti o trvalom hodnovernom popieraní.
    • Mohli by ste zvoliť cestu Whonix (iba v hostiteľskom operačnom systéme Windows v rámci tejto príručky).
  • Ak sa nachádzate v nepriateľskom prostredí, kde je samotné používanie Tor/VPN nemožné/nebezpečné/podozrivé:
    • Mohli by ste ísť cestou Tails (bez použitia Tor).
    • Mohli by ste ísť cestou operačného systému Whonix alebo Qubes (bez toho, aby ste skutočne používali Whonix).

Vo všetkých prípadoch by ste si mali prečítať tieto dve stránky z dokumentácie Whonix, ktoré vám poskytnú podrobný prehľad o vašich možnostiach:



Možno si kladiete otázku: "Ako zistím, že sa nachádzam v nepriateľskom online prostredí, kde sú aktivity aktívne monitorované a blokované?"


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Kroky pre všetky cesty.


Zvyknite si používať lepšie heslá.


Pozrite si prílohu A2: Usmernenia pre heslá a prístupové frázy.


Získajte anonymné telefónne číslo.


Tento krok preskočte, ak nemáte v úmysle vytvoriť anonymné účty na väčšine hlavných platforiem, ale chcete len anonymne surfovať, alebo ak platformy, ktoré budete používať, umožňujú registráciu bez telefónneho čísla.


Fyzický telefón s napaľovačkou a predplatená karta SIM.


Kúpte si vypalovací telefón.


Toto je pomerne jednoduché. Pred odchodom nechajte svoj smartfón vypnutý alebo ho vypnite. Pripravte si hotovosť a choďte na nejaký náhodný blší trh alebo do malého obchodu (ideálne do takého, kde nie sú kamerové systémy vnútri ani vonku a kde sa vyhnete fotografovaniu/filmovaniu) a jednoducho si kúpte najlacnejší telefón, ktorý nájdete, za hotovosť a bez poskytnutia akýchkoľvek osobných údajov. Musí byť len funkčný.


Osobne by som odporúčal zaobstarať si starý "dumbphone" s vymeniteľnou batériou (stará Nokia, ak vaše mobilné siete ešte umožňujú pripojenie týchto telefónov, keďže niektoré krajiny úplne zrušili 1G-2G). Je to preto, aby sa zabránilo automatickému odosielaniu/zbieraniu akýchkoľvek telemetrických/diagnostických údajov v samotnom telefóne. Tento telefón by ste nikdy nemali pripájať k žiadnej sieti Wi-Fi.


Rozhodujúce bude aj to, aby ste tento vypálený telefón nikdy nezapínali (ani bez karty SIM) na žiadnom geografickom mieste, ktoré by mohlo viesť k vám (napríklad doma/práci), a nikdy nie na rovnakom mieste ako váš iný známy smartfón (pretože ten má IMEI/IMSI, ktoré k vám ľahko povedie). Môže sa to zdať ako veľká záťaž, ale nie je to tak, pretože tieto telefóny sa používajú len počas procesu nastavenia/prihlásenia a z času na čas na overenie.


Pozri prílohu N: Upozornenie týkajúce sa smartfónov a inteligentných zariadení


Pred prechodom k ďalšiemu kroku by ste mali otestovať, či je telefón v poriadku. Budem sa však opakovať a znovu uvediem, že je dôležité, aby ste smartfón pri odchode nechali doma (alebo ho pred odchodom vypli, ak si ho musíte nechať) a aby ste telefón otestovali na náhodnom mieste, ktoré sa nedá vystopovať (a opäť, nerobte to pred kamerovým systémom, vyhýbajte sa kamerám, dávajte pozor na svoje okolie). Na tomto mieste nie je potrebné ani pripojenie Wi-Fi.


Keď ste si istí, že telefón je v poriadku, vypnite Bluetooth, potom ho vypnite (ak môžete, vyberte batériu) a vráťte sa domov a pokračujte v bežných činnostiach. Prejdite na ďalší krok.


Získajte anonymnú predplatenú kartu SIM.


Toto je najťažšia časť celého návodu. Ide o SPOF (Single Point of Failure - jeden bod zlyhania). Miest, kde si ešte môžete kúpiť predplatené SIM karty bez registrácie totožnosti, je čoraz menej kvôli rôznym nariadeniam typu KYC.


Tu je teda zoznam miest, kde ich ešte teraz môžete získať: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country [Archive.org].


Mali by ste byť schopní nájsť miesto, ktoré nie je "príliš ďaleko", a jednoducho tam fyzicky zájsť a kúpiť si niekoľko predplatených kariet a dobíjacích kupónov za hotovosť. Pred odchodom si overte, či nebol prijatý zákon, ktorý by zavádzal povinnú registráciu (v prípade, že vyššie uvedená wiki nebola aktualizovaná). Snažte sa vyhnúť priemyselným kamerám a fotoaparátom a nezabudnite si k SIM karte kúpiť aj kupón na dobitie (ak nejde o balík), pretože väčšina predplatených kariet si pred použitím vyžaduje dobitie.


Pozri prílohu N: Upozornenie týkajúce sa smartfónov a inteligentných zariadení


Predtým, ako sa tam vyberiete, dvakrát si overte, či mobilní operátori predávajúci predplatené SIM karty akceptujú aktiváciu a dobitie SIM karty bez akejkoľvek registrácie totožnosti. V ideálnom prípade by mali akceptovať aktiváciu a dobíjanie SIM karty z krajiny, v ktorej máte bydlisko.


Osobne by som v Spojenom kráľovstve odporúčal spoločnosť GiffGaff, pretože sú "cenovo dostupní", na aktiváciu a dobíjanie nevyžadujú identifikáciu a dokonca vám umožnia zmeniť číslo až 2-krát z ich webovej stránky. Jedna predplatená SIM karta GiffGaff vám teda poskytne 3 čísla, ktoré môžete používať pre svoje potreby.


Po aktivácii/dobití a pred odchodom domov telefón vypnite. Už ho nikdy nezapínajte, pokiaľ sa nenachádzate na mieste, ktoré môže byť použité na odhalenie vašej totožnosti, a pokiaľ smartfón pred odchodom na toto "nie domáce" miesto nevypnete.


Online telefónne číslo (menej odporúčané).


ODPORÚČANIE: Nepokúšajte sa o to, kým neskončíte s nastavením bezpečného prostredia podľa jednej z vybraných ciest. Tento krok si bude vyžadovať online prístup a mal by sa vykonávať len z anonymnej siete. Nevykonávajte ho z akéhokoľvek známeho/nezabezpečeného prostredia. Tento krok preskočte, kým nedokončíte jednu z trás.


Existuje mnoho komerčných služieb, ktoré ponúkajú čísla na prijímanie SMS správ online, ale väčšina z nich v podstate nemá žiadnu anonymitu/súkromie a nemôže byť nápomocná, pretože väčšina platforiem sociálnych sietí stanovuje limit, koľkokrát možno telefónne číslo použiť na registráciu.


Existujú niektoré fóra a subreddity (napríklad r/phoneverification/), kde vám používatelia ponúknu službu prijímania takýchto SMS správ za malý poplatok (pomocou služby PayPal alebo nejakej krypto platby). Bohužiaľ, tieto sú plné podvodníkov a veľmi rizikové z hľadiska anonymity. V žiadnom prípade by ste ich nemali používať.


Do dnešného dňa nepoznám žiadnu serióznu službu, ktorá by túto službu ponúkala a prijímala platby v hotovosti (napríklad poštou) ako niektorí poskytovatelia VPN. Existuje však niekoľko služieb, ktoré poskytujú online telefónne čísla a akceptujú Monero, čo by mohlo byť primerane anonymné (avšak menej odporúčané ako ten fyzický spôsob v predchádzajúcej kapitole), ktoré by ste mohli zvážiť:



Existujú aj ďalšie možnosti uvedené tu: https: //cryptwerk.com/companies/sms/xmr/ [Archive.org]. Používajte na vlastné riziko.


DISCLAIMER: Za žiadneho z týchto poskytovateľov nemôžem ručiť, a preto budem aj naďalej odporúčať, aby ste to urobili sami fyzicky. V tomto prípade sa budete musieť spoľahnúť na anonymitu Monera a nemali by ste používať žiadnu službu, ktorá vyžaduje akúkoľvek identifikáciu pomocou vašej skutočnej identity. Prosím, prečítajte si toto Vyhlásenie o odmietnutí zodpovednosti Monero.



Preto je IMHO pravdepodobne len pohodlnejšie, lacnejšie a menej rizikové jednoducho si zaobstarať predplatenú SIM kartu na niektorom z fyzických miest, ktoré ich stále predávajú za hotovosť bez toho, aby vyžadovali registráciu totožnosti. Ale aspoň existuje alternatíva, ak nemáte inú možnosť.


Kúpte si USB kľúč.


Kúpte si aspoň jeden alebo dva generické kľúče USB slušnej veľkosti (aspoň 16 GB, ale odporúčam 32 GB).


Prosím, nekupujte ani nepoužívajte trikové samošifrovacie zariadenia, ako sú napríklad tieto: https://syscall.eu/blog/2018/03/12/aigo_part1/ [Archive.org].


Niektoré môžu byť veľmi účinné, ale mnohé sú trikové pomôcky, ktoré neposkytujú žiadnu skutočnú ochranu.


Nájdite si nejaké bezpečné miesta so slušnou verejnou sieťou Wi-Fi.


Musíte si nájsť bezpečné miesta, kde budete môcť vykonávať citlivé činnosti pomocou verejne prístupnej siete Wi-Fi (bez registrácie účtu/identifikátora, vyhýbajte sa kamerovým systémom).


Môže to byť kdekoľvek, kde nebudete priamo viazaní na seba (váš domov/práca) a kde môžete chvíľu používať Wi-Fi bez toho, aby vás niekto obťažoval. Ale aj miesto, kde to môžete robiť bez toho, aby si vás niekto "všimol".


Ak si myslíte, že Starbucks je dobrý nápad, možno to prehodnotíte:


  • Pravdepodobne majú vo všetkých svojich predajniach kamerové systémy a tieto záznamy uchovávajú neznámy čas.
  • Vo väčšine z nich si budete musieť kúpiť kávu, aby ste získali prístupový kód na Wi-Fi. Ak túto kávu zaplatíte elektronickou metódou, budú môcť prepojiť váš prístup k Wi-Fi s vašou identitou.

Situačné povedomie je kľúčové a mali by ste si neustále všímať svoje okolie a vyhýbať sa turisticky vyhľadávaným miestam, akoby ich zamorila ebola. Chcete sa vyhnúť tomu, aby ste sa objavili na akejkoľvek fotografii/videu kohokoľvek, keď si niekto robí selfie, natáča video na TikTok alebo zverejňuje nejakú cestovateľskú fotku na svojom Instagrame. Ak tak urobíte, pamätajte, že je vysoká šanca, že tieto fotografie skončia online (verejne alebo súkromne) s pripojenými kompletnými metadátami (čas/dátum/geolokácia) a vašou tvárou. Pamätajte, že ich môže indexovať a bude indexovať Facebook/Google/Yandex/Apple a pravdepodobne aj všetky tri písmenkové agentúry.


Aj keď to ešte nebude k dispozícii vašim miestnym policajtom, v blízkej budúcnosti by to mohlo byť.


V ideálnom prípade budete potrebovať súbor 3-5 rôznych takýchto miest, aby ste sa vyhli použitiu toho istého miesta dvakrát. V priebehu niekoľkých týždňov bude potrebných niekoľko ciest pre rôzne kroky v tejto príručke.


Pre väčšiu bezpečnosť by ste mohli zvážiť aj pripojenie sa k týmto miestam z bezpečnej vzdialenosti. Pozrite si prílohu Q: Používanie antény s dlhým dosahom na pripojenie k verejnej sieti Wi-Fis z bezpečnej vzdialenosti.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Tá cesta je veľmi jednoduchá.


Táto časť príručky vám pomôže pri nastavovaní Tails, ak platí jedna z nasledujúcich možností:


  • Nemôžete si dovoliť špecializovaný prenosný počítač
  • Váš špecializovaný notebook je príliš starý a pomalý
  • Máte veľmi nízke zručnosti v oblasti IT
  • Rozhodnete sa pre Tails aj tak

Tails je skratka pre Amnesic Incognito Live System. Je to bootovateľný živý operačný systém spustiteľný z kľúča USB, ktorý je navrhnutý tak, aby nezanechával žiadne stopy a všetky pripojenia vynucoval cez sieť Tor.


Kľúč USB Tails v podstate vložíte do svojho notebooku, naštartujete z neho a máte k dispozícii plnohodnotný operačný systém, ktorý beží s ohľadom na súkromie a anonymitu. Akonáhle počítač vypnete, všetko zmizne, pokiaľ ste si ho niekam neuložili.


Tails je veľmi jednoduchý spôsob, ako začať pracovať v krátkom čase s tým, čo máte, a bez veľkého učenia. Má rozsiahlu dokumentáciu a návody.


UPOZORNENIE: Tails nie je vždy aktuálny so svojím dodávaným softvérom. A nie vždy je aktuálny aj s aktualizáciami prehliadača Tor. Vždy by ste sa mali uistiť, že používate najnovšiu verziu Tails, a mali by ste byť mimoriadne opatrní pri používaní pribalených aplikácií v rámci Tails, ktoré môžu byť zraniteľné voči exploitom a odhaliť vašupolohu265.


Má však aj niektoré nevýhody:


  • Tails používa Tor, a preto budete na prístup k akémukoľvek zdroju na internete používať Tor. Už len táto skutočnosť vás urobí podozrivými pre väčšinu platforiem, kde si chcete vytvoriť anonymné účty (podrobnejšie to bude vysvetlené neskôr).
  • Váš poskytovateľ internetových služieb (či už váš alebo nejaký verejný Wi-Fi) tiež uvidí, že používate Tor, a to by vás mohlo urobiť podozrivými samo o sebe.
  • Tails neobsahuje (natívne) niektoré softvéry, ktoré by ste mohli chcieť neskôr používať, čo vám dosť skomplikuje situáciu, ak budete chcieť spustiť niektoré špecifické veci (napríklad emulátory Androidu).
  • Tails používa Tor Browser, ktorý je síce veľmi bezpečný, ale väčšina platforiem ho takisto odhalí a bude vám brániť vo vytváraní anonymných identít na mnohých platformách.
  • Tails vás viac neochráni ani pred kľúčom za 5 dolárov8.
  • Tor sám o sebe nemusí stačiť na to, aby vás ochránil pred protivníkom s dostatočnými prostriedkami, ako bolo vysvetlené skôr.

Dôležitá poznámka: Ak je váš notebook monitorovaný/dozorovaný a platia na ňom nejaké miestne obmedzenia, prečítajte si prílohu U: Ako obísť (niektoré) miestne obmedzenia na počítačoch pod dohľadom.


Pred ďalším postupom by ste si mali prečítať aj dokumentáciu Tails, upozornenia a obmedzenia https://tails.boum.org/doc/about/warnings/index.en.html [Archive.org].


Vzhľadom na toto všetko a na to, že ich dokumentácia je skvelá, vás len presmerujem na ich dobre urobený a udržiavaný návod:


https://tails.boum.org/install/index.en.html [Archive.org], vyberte si svoju chuť a pokračujte.


Keď budete hotoví a budete mať na svojom notebooku funkčný Tails, prejdite na krok Vytvorenie anonymných online identít oveľa ďalej v tejto príručke.


Ak máte problém s prístupom k Toru kvôli cenzúre alebo iným problémom, môžete skúsiť použiť Tor Bridges podľa tohto návodu Tails: https://tails.boum.org/doc/first_steps/welcome_screen/bridge_mode/index.en.html [Archive.org] a ďalšie informácie o nich nájdete na stránke Tor Documentation https://2019.www.torproject.org/docs/bridges [Archive.org].


Ak si myslíte, že používanie samotného Tor je nebezpečné/podozrivé, pozrite si prílohu P: Čo najbezpečnejší prístup na internet, keď Tor/VPN nie je mož
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Trvalá vierohodná popierateľnosť pomocou Whonixu v rámci chvostov.


Zvážte kontrolu projektu https://github.com/aforensics/HiddenVM [Archive.org] pre Tails.


Tento projekt je šikovným nápadom samostatného riešenia virtuálneho počítača na jedno kliknutie, ktorý by ste mohli uložiť na zašifrovaný disk s využitím plausible deniability256 (pozrite si časť Cesta Whonix: prvé kapitoly a tiež niekoľko vysvetlení o plausible deniability, ako aj časť Ako bezpečne odstrániť konkrétne súbory/priečinky/dáta na HDD/SSD a palcových diskoch: na konci tejto príručky pre lepšie pochopenie).


To by umožnilo vytvoriť hybridný systém, v ktorom by sa miešal Tails s možnosťami virtualizácie na ceste Whonix v tejto príručke.
2021 08 04 17 12


Poznámka: Ďalšie vysvetlenia o izolácii toku nájdete v časti Výber spôsobu pripojenia v rámci trasy Whonix


V skratke:


  • Mohli by ste spustiť nepersistentný Tails z jedného kľúča USB (podľa ich odporúčaní)
  • Mohli by ste ukladať perzistentné virtuálne počítače v rámci sekundárneho kontajnera, ktorý by mohol byť zašifrovaný normálne alebo pomocou funkcie Veracrypt plausible deniability (mohli by to byť napríklad virtuálne počítače Whonix alebo akékoľvek iné).
  • Využívate výhody pridanej funkcie izolácie toku Tor (pozrite si Tor cez VPN, kde nájdete viac informácií o izolácii toku).

V takomto prípade, ako ho načrtáva projekt, by na vašom počítači nemali byť žiadne stopy po vašich aktivitách a citlivá práca by sa mohla vykonávať z virtuálnych strojov uložených do skrytého kontajnera, ktorý by nemal byť ľahko odhaliteľný mäkkým protivníkom.


Táto možnosť je zaujímavá najmä na "cestovanie naľahko" a na zmiernenie forenzných útokov pri zachovaní perzistencie vašej práce. Potrebujete len 2 kľúče USB (jeden s Tails a jeden s kontajnerom Veracrypt obsahujúcim perzistentný Whonix). Prvý kľúč USB sa bude javiť, že obsahuje len Tails, a druhý kľúč USB sa bude javiť, že obsahuje len náhodný odpad, ale bude mať vábivý zväzok, ktorý môžete ukázať na hodnoverné popretie.


Mohli by ste sa tiež pýtať, či to bude mať za následok nastavenie "Tor nad Tor", ale nebude. Virtuálne počítače Whonix budú pristupovať k sieti priamo cez Clearnet a nie cez Tails Onion Routing.


V budúcnosti by to mohol podporovať aj samotný projekt Whonix, ako je vysvetlené tu: https://www.whonix.org/wiki/Whonix-Host [Archive.org], ale zatiaľ sa to neodporúča pre koncových používateľov.


Pamätajte, že šifrovanie s hodnoverným popretím alebo bez neho nie je strieborná guľa a v prípade mučenia bude málo užitočné. V skutočnosti, v závislosti od toho, kto by bol váš protivník (váš model hrozby), by mohlo byť rozumné vôbec nepoužívať Veracrypt (predtým TrueCrypt), ako je to uvedené v tejto ukážke: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Vierohodné popieranie je účinné len proti mäkkým zákonným protivníkom, ktorí sa neuchýlia k fyzickým prostriedkom.


Pozri https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis
[Wikiless] [Archive.org].


UPOZORNENIE: Ak uvažujete o uložení takýchto skrytých virtuálnych počítačov na externý disk SSD, pozrite si časť Príloha K: Úvahy o používaní externých diskov SSD a časť Pochopenie HDD verzus SSD:


  • Nepoužívajte skryté zväzky na SSD diskoch, pretože to Veracrypt nepodporuje/odporúča.
  • Namiesto šifrovaných zväzkov používajte radšej kontajnery súborov.
  • Uistite sa, že viete, ako správne vyčistiť údaje z externého disku SSD.

Tu je môj návod, ako to dosiahnuť:


Prvé spustenie.


  • Stiahnite si najnovšiu verziu HiddenVM z https://github.com/aforensics/HiddenVM/releases [Archive.org]
  • Stiahnite si najnovšie vydanie Whonix XFCE z https://www.whonix.org/wiki/VirtualBox/XFCE [Archive.org]
  • Pripravte si kľúč USB/pohybovú jednotku s Veracryptom
    • Vytvorte skrytý zväzok na jednotke USB/Key (odporúčam aspoň 16 GB pre skrytý zväzok)
    • Do vonkajšieho zväzku umiestnite niekoľko vábivých súborov
    • Do skrytého zväzku umiestnite súbor HiddenVM appimage
    • Do skrytého zväzku umiestnite súbor Whonix XFCE ova
  • Spustite systém do režimu Tails
  • Nastavte rozloženie klávesnice podľa svojich predstáv.
  • Vyberte položku Additional Settings (Ďalšie nastavenia) a nastavte heslo správcu (root) (potrebné na inštaláciu HiddenVM)
  • Spustite Tails
  • Pripojte sa k bezpečnej wi-fi (tento krok je potrebný na to, aby zvyšok fungoval)
  • Prejdite do časti Nástroje a odomknite svoj (skrytý) zväzok Veracrypt (nezabudnite zaškrtnúť políčko skrytý zväzok)
  • Spustite obraz aplikácie HiddenVM
  • Keď sa zobrazí výzva na výber priečinka, vyberte koreňový priečinok skrytého zväzku (kde sa nachádzajú súbory OVA Whonix a obraz aplikácie HiddenVM).
  • Nechajte ho urobiť svoju prácu (v podstate sa tak nainštaluje Virtualbox v rámci Tails jedným kliknutím)
  • Po dokončení by sa mal automaticky spustiť správca Virtualboxu.
  • Importujte súbory Whonix OVA (pozrite si Whonix Virtual Machines:)

Upozorňujeme, že ak sa počas importu vyskytnú problémy, ako napríklad "NS_ERROR_INVALID_ARG (0x80070057)", je to pravdepodobne preto, že na vašom skrytom zväzku nie je dostatok miesta na disku pre Whonix. Samotná spoločnosť Whonix odporúča 32 GB voľného miesta, ale pravdepodobne to nie je potrebné a pre začiatok by malo stačiť 10 GB. Túto chybu môžete skúsiť obísť premenovaním súboru Whonix *.OVA na *.TAR a jeho dekomprimovaním v rámci Tails. Po dokončení dekomprimácie odstráňte súbor OVA a importujte ostatné súbory pomocou sprievodcu importom. Tentoraz by to mohlo fungovať.


Následné spustenia.


  • Zavedenie do systému Tails
  • Pripojte sa k Wi-Fi
  • Odomknite skrytý zväzok
  • Spustite aplikáciu HiddenVM
  • Mal by sa automaticky otvoriť správca VirtualBoxu a zobraziť vaše predchádzajúce virtuálne počítače od prvého spustenia
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Kroky pre všetky ostatné cesty.


Získajte špecializovaný prenosný počítač na citlivé činnosti.


V ideálnom prípade by ste si mali zaobstarať vyhradený prenosný počítač, ktorý s vami nebude nijako jednoducho spojený (ideálne zaplatený anonymne v hotovosti a s použitím rovnakých bezpečnostných opatrení, aké boli predtým uvedené v prípade telefónu a SIM karty). Odporúča sa to, ale nie je to povinné, pretože táto príručka vám pomôže čo najviac spevniť váš notebook, aby ste zabránili úniku údajov rôznymi spôsobmi. Medzi vašimi online identitami a vami bude stáť niekoľko obranných línií, ktoré by mali zabrániť väčšine protivníkov, aby vás deanonymizovali, okrem štátnych/globálnych subjektov so značnými zdrojmi.


Tento notebook by mal byť v ideálnom prípade čistý čerstvo nainštalovaný notebook (s operačným systémom Windows, Linux alebo MacOS), čistý od vašich bežných každodenných činností a offline (ešte nikdy nepripojený k sieti). V prípade notebooku so systémom Windows a ak ste ho používali pred takouto čistou inštaláciou, nemal by byť ani aktivovaný (preinštalovaný bez produktového kľúča). Konkrétne v prípade MacBookov by nikdy predtým nemal byť žiadnym spôsobom spojený s vašou identitou. Kúpte si teda tovar z druhej ruky za hotovosť od neznámej cudzej osoby, ktorá nepozná vašu identitu


Ide o zmiernenie niektorých budúcich problémov v prípade úniku informácií online (vrátane telemetrie z vášho operačného systému alebo aplikácií), ktoré by mohli ohroziť všetky jedinečné identifikátory notebooku počas jeho používania (MAC adresa, Bluetooth adresa a produktový kľúč...). Ale aj preto, aby ste sa vyhli spätnému vystopovaniu, ak sa potrebujete notebooku zbaviť.


Ak ste tento notebook predtým používali na rôzne účely (napríklad na každodenné činnosti), všetky jeho hardvérové identifikátory sú pravdepodobne známe a zaregistrované spoločnosťou Microsoft alebo Apple. Ak neskôr dôjde k narušeniu niektorého z týchto identifikátorov (škodlivým softvérom, telemetriou, zneužitím, ľudskou chybou...), môžu viesť späť k vám.


Notebook by mal mať aspoň 250 GB diskového priestoru aspoň 6 GB (ideálne 8 GB alebo 16 GB ) pamäte RAM a mal by byť schopný spustiť niekoľko virtuálnych strojov súčasne. Mal by mať funkčnú batériu, ktorá vydrží niekoľko hodín.


Tento notebook by mohol mať pevný disk (7200 otáčok za minútu) alebo disk SSD/NVMe. Obe možnosti majú svoje výhody a problémy, ktoré budú podrobne opísané neskôr.


Všetky budúce online kroky vykonávané s týmto prenosným počítačom by sa mali v ideálnom prípade vykonávať z bezpečnej siete, napríklad z verejnej Wi-Fi na bezpečnom mieste (pozrite si časť Nájdite nejaké bezpečné miesta so slušnou verejnou Wi-Fi). Niekoľko krokov však bude potrebné najprv vykonať offline.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Niektoré odporúčania týkajúce sa notebookov.


Ak si to môžete dovoliť, môžete zvážiť kúpu notebooku Purism Librem(https://puri.sm [Archive.org]) alebo notebookov System76(https://system76.com/ [Archive.org]) pri použití systému Coreboot (kde je Intel IME vypnutý už z výroby).


V ostatných prípadoch by som dôrazne odporúčal zaobstarať si notebooky triedy Business (teda nie spotrebiteľské/herné), ak môžete. Napríklad nejaký ThinkPad od Lenova (môj osobný favorit). Tu sú zoznamy notebookov, ktoré v súčasnosti podporujú Libreboot, a ďalších, kde si môžete sami flashnúť Coreboot (ktorý vám umožní vypnúť Intel IME alebo AMD PSP):



Tieto firemné notebooky totiž zvyčajne ponúkajú lepšie a lepšie prispôsobiteľné bezpečnostné funkcie (najmä v nastaveniach BIOS/UEFI) s dlhšou podporou ako väčšina spotrebiteľských notebookov (Asus, MSI, Gigabyte, Acer...). Zaujímavé funkcie, ktoré treba hľadať, sú IMHO:


  • Lepšie vlastné nastavenia Secure Boot (kde môžete selektívne spravovať všetky kľúče a nepoužívať len štandardné)
  • Heslá HDD/SSD okrem hesiel BIOS/UEFI.
  • Notebooky AMD by mohli byť zaujímavejšie, pretože niektoré poskytujú možnosť štandardne vypnúť AMD PSP (ekvivalent Intel IME) z nastavení BIOS/UEFI. A pretože AFAIK, AMD PSP bol auditovaný a na rozdiel od IME sa nezistilo, že by mal nejaké "zlé" funkcie. Ak sa však chystáte na Qubes OS Route, zvážte Intel, pretože nepodporuje AMD s ich anti-evil-maid systémom.
  • Nástroje Secure Wipe z BIOS-u (užitočné najmä pre disky SSD/NVMe, pozri prílohu M: Možnosti BIOS/UEFI na vymazanie diskov v rôznych značkách).
  • Lepšia kontrola nad vypnutím/zapnutím vybraných periférií (porty USB, Wi-Fis, Bluetooth, kamera, mikrofón...).
  • Lepšie funkcie zabezpečenia s virtualizáciou.
  • Natívna ochrana proti neoprávnenej manipulácii.
  • Dlhšia podpora aktualizácií BIOS/UEFI (a následných bezpečnostných aktualizácií BIOS/UEFI).
  • Niektoré sú podporované systémom Libreboot
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Nastavenia Bios/UEFI/Firmware vášho prenosného počítača.


PC.


Tieto nastavenia sú prístupné prostredníctvom spúšťacej ponuky vášho prenosného počítača. Tu je dobrý návod od spoločnosti HP, ktorý vysvetľuje všetky spôsoby prístupu k systému BIOS na rôznych počítačoch: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Archive.org].


Zvyčajne sa k nemu pristupuje stlačením špecifického tlačidla (F1, F2 alebo Del) pri štarte systému (pred operačným systémom).


Keď sa tam dostanete, budete musieť použiť niekoľko odporúčaných nastavení:


  • Ak môžete, úplne vypnite Bluetooth.
  • Ak môžete, vypnite biometriu (skenery odtlačkov prstov), ak nejaké máte. Mohli by ste však pridať biometrickú dodatočnú kontrolu len pre bootovanie (pred zavedením systému), ale nie pre prístup k nastaveniam BIOS/UEFI.
  • Ak môžete, vypnite webovú kameru a mikrofón.
  • Povoľte heslo BIOS/UEFI a namiesto hesla použite dlhú prístupovú frázu (ak môžete) a zabezpečte, aby sa toto heslo vyžadovalo:
    • prístup k samotným nastaveniam BIOS/UEFI
    • Zmena poradia zavádzania systému
    • Spustenie/zapnutie zariadenia
  • Povolenie hesla HDD/SSD, ak je táto funkcia k dispozícii. Táto funkcia pridá ďalšie heslo na samotný HDD/SSD (nie do firmvéru BIOS/UEFI), ktoré zabráni použitiu tohto HDD/SSD v inom počítači bez hesla. Upozorňujeme, že táto funkcia je špecifická aj pre niektorých výrobcov a môže vyžadovať špecifický softvér na odomknutie tohto disku z úplne iného počítača.
  • Ak je to možné, zabráňte prístupu k možnostiam zavádzania (poradie zavádzania) bez zadania hesla systému BIOS/UEFI.
  • Ak môžete, zakážte USB/HDMI alebo akýkoľvek iný port (Ethernet, Firewire, SD karta...).
  • Zakážte Intel ME, ak môžete.
  • Ak môžete, zakážte AMD PSP (ekvivalent IME od AMD, pozri časť Váš procesor).
  • Zakážte Secure Boot, ak máte v úmysle používať QubesOS, pretože ho nepodporuje z výroby. Ak chcete používať Linux/Windows, nechajte ho zapnutý.
  • Skontrolujte, či má BIOS vášho notebooku možnosť bezpečného vymazania HDD/SSD, ktorá by sa vám mohla hodiť v prípade potreby.

Tie povoľte len v prípade "potreby" a po použití ich opäť vypnite. To môže pomôcť zmierniť niektoré útoky v prípade, že sa vášho notebooku zmocnia, keď je zamknutý, ale stále zapnutý, ALEBO ak ste ho museli pomerne rýchlo vypnúť a niekto sa ho zmocnil (táto téma bude vysvetlená neskôr v tejto príručke).


O zabezpečenom spustení systému.


Je to bezpečnostná funkcia UEFI, ktorej cieľom je zabrániť spusteniu operačného systému, z ktorého zavádzač nebol podpísaný špecifickými kľúčmi uloženými vo firmvéri UEFI vášho notebooku.


V podstate, ak to operačné systémy (alebo zavádzač) podporujú, môžete uložiť kľúče zavádzača do firmvéru UEFI a to zabráni spusteniu akéhokoľvek neautorizovaného operačného systému (napríklad USB s live OS alebo niečo podobné).


Nastavenia Secure Boot sú chránené heslom, ktoré ste nastavili na prístup k nastaveniam BIOS/UEFI. Ak toto heslo máte, môžete Secure Boot vypnúť a povoliť zavádzanie nepodpísaných operačných systémov v systéme. To môže pomôcť zmierniť niektoré útoky Evil-Maid (vysvetlené neskôr v tejto príručke).


Vo väčšine prípadov je Secure Boot predvolene vypnutý alebo je povolený, ale v režime "nastavenia", ktorý umožní spustenie akéhokoľvek systému. Aby Secure Boot fungoval, váš operačný systém ho musí podporovať a potom podpísať svoj zavádzač a poslať tieto podpisové kľúče do firmvéru UEFI. Potom budete musieť prejsť do nastavení BIOS/UEFI a uložiť tieto tlačené kľúče z operačného systému a zmeniť Secure Boot z režimu nastavenia na používateľský režim (alebo v niektorých prípadoch na vlastný režim).


Po vykonaní tohto kroku bude možné spustiť iba tie operačné systémy, z ktorých môže váš firmvér UEFI overiť integritu zavádzača.


Väčšina prenosných počítačov bude mať v nastaveniach zabezpečeného zavádzania už uložené niektoré predvolené kľúče. Zvyčajne sú to tie od samotného výrobcu alebo od niektorých spoločností, ako je napríklad Microsoft. Znamená to teda, že v predvolenom nastavení bude vždy možné zaviesť niektoré disky USB aj so zabezpečeným zavádzaním. Patria sem systémy Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla a mnohé ďalšie. Systém QubesOS však v súčasnosti Secure Boot vôbec nepodporuje.


V niektorých notebookoch môžete tieto kľúče spravovať a odstrániť tie, ktoré nechcete, pomocou "vlastného režimu", aby ste autorizovali len svoj vlastný zavádzač, ktorý by ste mohli sami podpísať, ak naozaj chcete.


Pred čím vás teda Secure Boot chráni? Chráni váš notebook pred zavádzaním nepodpísaných zavádzačov (poskytovateľom operačného systému) napríklad s injektovaným škodlivým softvérom.


Pred čím vás Secure Boot nechráni?


  • Secure Boot nezašifruje váš disk a protivník môže stále len vybrať disk z vášho notebooku a získať z neho údaje pomocou iného počítača. Secure Boot je preto bez úplného šifrovania disku nepoužiteľný.
  • Secure Boot vás nechráni pred podpísaným zavádzačom, ktorý by bol kompromitovaný a podpísaný samotným výrobcom (napríklad spoločnosťou Microsoft v prípade systému Windows). Väčšina bežných distribúcií Linuxu je v súčasnosti podpísaná a spustí sa so zapnutým Secure Boot.
  • Secure Boot môže mať chyby a exploity ako každý iný systém. Ak používate starý notebook, ktorý nevyužíva nové aktualizácie BIOS/UEFI, môžu zostať neopravené.

Okrem toho existuje množstvo útokov, ktoré by mohli byť proti Secure Boot možné, ako je vysvetlené (do hĺbky) v týchto technických videách:



Môže byť teda užitočná ako dodatočné opatrenie proti niektorým protivníkom, ale nie všetkým. Secure Boot sám o sebe nešifruje pevný disk. Je to pridaná vrstva, ale to je všetko.


Napriek tomu odporúčam, aby ste ho mali zapnutý, ak môžete.



Mac.


Venujte chvíľu času nastaveniu hesla firmvéru podľa návodu tu: https: //support.apple.com/en-au/HT204455 [Archive.org].


Mali by ste tiež povoliť ochranu pred obnovením hesla firmvéru (dostupná z Catalina) podľa dokumentácie tu: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org].


Táto funkcia zmierni možnosť niektorých protivníkov použiť hardvérové hacky na deaktiváciu/obídenie hesla firmvéru. Všimnite si, že to tiež zabráni samotnej spoločnosti Apple v prístupe k firmvéru v prípade opravy.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Fyzicky chráňte svoj prenosný počítač pred neoprávnenou manipuláciou.


V určitom okamihu nevyhnutne necháte tento prenosný počítač niekde osamote. Nebudete s ním spať a budete ho každý deň všade nosiť so sebou. Mali by ste ho čo najviac znemožniť, aby s ním niekto mohol manipulovať bez toho, aby ste si to všimli. To je užitočné hlavne proti niektorým obmedzeným protivníkom, ktorí proti vám nepoužijú kľúč za 5 dolárov.


Je dôležité vedieť, že pre niektorých špecialistov je triviálne jednoduché nainštalovať do vášho notebooku key logger alebo jednoducho vytvoriť klonovú kópiu vášho pevného disku, ktorá by im neskôr umožnila zistiť prítomnosť zašifrovaných údajov v ňom pomocou forenzných techník (o tom neskôr).


Tu je dobrá lacná metóda, ako zabezpečiť notebook proti neoprávnenej manipulácii pomocou laku na nechty (s trblietkami) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (s obrázkami).


Hoci je to dobrá lacná metóda, mohla by tiež vzbudiť podozrenie, pretože je dosť "nápadná" a mohla by práve odhaliť, že "máte čo skrývať". Existujú teda rafinovanejšie spôsoby, ako dosiahnuť rovnaký výsledok. Mohli by ste napríklad urobiť aj detailnú makrofotografiu zadných skrutiek notebooku alebo jednoducho použiť veľmi malé množstvo vosku zo sviečky v jednej zo skrutiek, ktoré by mohlo vyzerať len ako obyčajná špina. Následne by ste mohli skontrolovať, či nedošlo k neoprávnenej manipulácii, porovnaním fotografií skrutiek s novými. Ich orientácia sa mohla trochu zmeniť, ak váš protivník nebol dostatočne opatrný (utiahol ich presne tak, ako boli predtým). Alebo mohol byť vosk v spodnej časti hlavy skrutky poškodený v porovnaní s predchádzajúcim stavom.
2021 08 05 07 49

Rovnaké techniky sa dajú použiť aj pri portoch USB, kde by stačilo vložiť malé množstvo vosku do sviečky, ktorá by sa poškodila vložením kľúča USB do nej.


V rizikovejších prostrediach si pred pravidelným používaním skontrolujte, či do notebooku nebolo zasiahnuté.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Cestou Whonixu.


Výber hostiteľského operačného systému (operačný systém nainštalovaný v prenosnom počítači).


Táto cesta bude vo veľkej miere využívať virtuálne stroje, budú vyžadovať hostiteľský OS na spustenie virtualizačného softvéru. V tejto časti príručky máte na výber 3 odporúčané možnosti:


  • Vaša vybraná distribúcia Linuxu (okrem operačného systému Qubes)
  • Windows 10 (najlepšie verzia Home kvôli absencii Bitlocker)
  • MacOS (Catalina alebo vyššia verzia)

Okrem toho je vysoká pravdepodobnosť, že váš Mac je alebo bol viazaný na účet Apple (v čase nákupu alebo po prihlásení), a preto by jeho jedinečné hardvérové identifikátory mohli v prípade úniku hardvérových identifikátorov viesť späť k vám.


Linux tiež nemusí byť nevyhnutne najlepšou voľbou pre anonymitu v závislosti od modelu ohrozenia. Používanie systému Windows nám totiž umožní pohodlne používať Plausible Deniability (alias Popierateľné šifrovanie) jednoducho na úrovni operačného systému. Windows je bohužiaľ zároveň aj nočnou morou súkromia, ale je jedinou (pohodlnou) možnosťou na použitie plausible deniability na úrovni OS. Telemetria a blokovanie telemetrie systému Windows je tiež široko zdokumentované, čo by malo zmierniť mnohé problémy.


Čo je teda plausible deniability? Je to možnosť spolupracovať s protivníkom, ktorý žiada o prístup k vášmu zariadeniu/údajom, bez toho, aby ste odhalili svoje skutočné tajomstvo. To všetko s použitím Deniable Encryption (Popierateľné šifrovanie).


Mäkký zákonný protivník by mohol požiadať o vaše zašifrované heslo k notebooku. Spočiatku by ste mohli odmietnuť prezradiť akékoľvek heslo (s využitím svojho "práva nevypovedať", "práva neobviniť sa"), ale niektoré krajiny zavádzajú zákony, ktoré z týchto práv vynímajú (pretože teroristi a "myslia na deti"). V takom prípade budete možno musieť heslo prezradiť alebo vám možno hrozí väzenie za pohŕdanie súdom. V tomto prípade bude do hry vstupovať hodnoverné popieranie.


Potom by ste mohli odhaliť heslo, ale toto heslo umožní prístup len k "hodnoverným údajom" (klamlivý OS). Kriminalisti si budú dobre vedomí, že je možné, že máte skryté údaje, ale nemali by to byť schopní dokázať (ak to urobíte správne). Budete spolupracovať a vyšetrovatelia budú mať prístup k niečomu, ale nie k tomu, čo chcete v skutočnosti skryť. Keďže dôkazné bremeno by malo ležať na ich strane, nebudú mať iné možnosti, ako vám uveriť, pokiaľ nebudú mať dôkaz, že máte skryté údaje.


Túto funkciu môžete použiť na úrovni operačného systému (hodnoverný operačný systém a skrytý operačný systém) alebo na úrovni súborov, kde budete mať zašifrovaný kontajner súborov (podobne ako súbor zip), v ktorom sa budú zobrazovať rôzne súbory v závislosti od použitého šifrovacieho hesla.


To tiež znamená, že by ste mohli nastaviť vlastné pokročilé nastavenie "hodnoverného popierania" pomocou ľubovoľného hostiteľského OS uložením napríklad virtuálnych strojov do kontajnera so skrytým zväzkom Veracrypt (pozor na stopy v hostiteľskom OS tho, ktoré by bolo potrebné vyčistiť, ak je hostiteľský OS trvalý, pozrite si časť Niektoré ďalšie opatrenia proti kriminalistike neskôr). Existuje projekt na dosiahnutie tohto cieľa v rámci Tails(https://github.com/aforensics/HiddenVM [Archive.org]), ktorý by zabezpečil, aby váš hostiteľský OS nebol perzistentný, a použil hodnoverné popretie v rámci Tails.


V prípade systému Windows je hodnoverné popretie tiež dôvodom, prečo by ste mali mať ideálne systém Windows 10 Home (a nie Pro). Systém Windows 10 Pro totiž natívne ponúka systém šifrovania celého disku (Bitlocker), zatiaľ čo systém Windows 10 Home neponúka žiadne šifrovanie celého disku. Neskôr budeme na šifrovanie používať softvér s otvoreným zdrojovým kódom tretej strany, ktorý umožní šifrovanie celého disku v systéme Windows 10 Home. To vám poskytne dobrú (hodnovernú) zámienku na použitie tohto softvéru. Zatiaľ čo používanie tohto softvéru v systéme Windows 10 Pro by bolo podozrivé.


Poznámka k systému Linux: Čo teda Linux a hodnoverné popieranie? Áno, aj v systéme Linux je možné dosiahnuť hodnoverné popretie. Je to však zložité na nastavenie a IMHO si to vyžaduje dostatočne vysokú úroveň zručností, takže pravdepodobne nepotrebujete túto príručku, ktorá by vám pomohla to vyskúšať.


Bohužiaľ, šifrovanie nie je mágia a sú s ním spojené určité riziká:


Hrozby pri šifrovaní.


Kľúč za 5 dolárov.


Nezabudnite, že šifrovanie s hodnoverným popretím alebo bez neho nie je strieborná guľka a v prípade mučenia bude málo užitočné. V skutočnosti, v závislosti od toho, kto by bol váš protivník (váš model hrozby), by mohlo byť rozumné vôbec nepoužívať Veracrypt (predtým TrueCrypt), ako je to ukázané v tejto ukážke: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].


Vierohodné popieranie je účinné len proti mäkkým zákonným protivníkom, ktorí sa neuchýlia k fyzickým prostriedkom. Ak je to moţné, vyhnite sa pouţívaniu softvéru schopného hodnoverného popretia (ako je Veracrypt), ak váš model hrozby zahŕňa tvrdých protivníkov. Používatelia systému Windows by si teda v takom prípade mali nainštalovať systém Windows Pro ako hostiteľský operačný systém a namiesto neho používať Bitlocker.


Pozri https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]


Útok zlej slúžky.


Útoky zlých slúžok sa uskutočňujú vtedy, keď niekto manipuluje s vaším prenosným počítačom, keď ste neprítomní. Pre inštaláciu naklonovať váš pevný disk, nainštalovať škodlivý softvér alebo key logger. Ak sa im podarí naklonovať váš pevný disk, môžu porovnať jeden obraz vášho pevného disku v čase, keď ho vzali, kým ste boli preč, s pevným diskom, keď vám ho zhabali. Ak ste medzitým notebook opäť používali, forenzní experti by mohli dokázať existenciu skrytých údajov tým, že sa pozrú na rozdiely medzi oboma obrazmi v mieste, ktoré by malo byť prázdne/nevyužité. To by mohlo viesť k presvedčivým dôkazom o existencii skrytých údajov. Ak do vášho prenosného počítača nainštalujú program na zaznamenávanie kľúčov alebo škodlivý softvér (softvér alebo hardvér), budú môcť pri jeho zaistení jednoducho získať od vás heslo na neskoršie použitie. Takéto útoky sa môžu uskutočniť u vás doma, v hoteli, na hraničnom priechode alebo kdekoľvek, kde necháte svoje zariadenia bez dozoru.


Tento útok môžete zmierniť nasledujúcimi opatreniami (ako sa odporúčalo skôr):


  • Majte základnú ochranu proti neoprávnenej manipulácii (ako bolo vysvetlené predtým), aby ste zabránili fyzickému prístupu k vnútorným častiam prenosného počítača bez vášho vedomia. Zabráni sa tak klonovaniu diskov a inštalácii fyzického záznamníka klávesov bez vášho vedomia.
  • Zakážte všetky porty USB (ako už bolo vysvetlené) v rámci systému BIOS/UEFI chráneného heslom. Opäť ich nebudú môcť zapnúť (bez fyzického prístupu k základnej doske, aby resetovali BIOS) a spustiť zariadenie USB, ktoré by mohlo klonovať váš pevný disk alebo nainštalovať softvérový malvér, ktorý by mohol fungovať ako key logger.
  • Nastavte heslá BIOS/UEFI/Firmware, aby ste zabránili akémukoľvek neoprávnenému spusteniu neautorizovaného zariadenia.
  • Niektoré operačné systémy a šifrovací softvér majú zapnutú ochranu proti zneužitiu. To je prípad systémov Windows/Veracrypt a QubeOS.

Útok studeným štartom.


Útoky Cold Boot sú zložitejšie ako útok Evil Maid, ale môžu byť súčasťou útoku Evil Maid, pretože vyžadujú, aby sa protivník dostal k vášmu prenosnému počítaču počas aktívneho používania zariadenia alebo krátko po ňom.


Myšlienka je pomerne jednoduchá, ako je ukázané v tomto videu, protivník by teoreticky mohol rýchlo spustiť vaše zariadenie na špeciálnom kľúči USB, ktorý by skopíroval obsah RAM (pamäte) zariadenia po jeho vypnutí. Ak sú porty USB vypnuté alebo ak má pocit, že potrebuje viac času, mohol by ho otvoriť a "ochladiť" pamäť pomocou spreja alebo iných chemikálií (napríklad tekutého dusíka), čím by zabránil rozpadu pamäte. Potom by mohli skopírovať jej obsah na analýzu. Tento výpis pamäte by mohol obsahovať kľúč na dešifrovanie zariadenia. Neskôr uplatníme niekoľko zásad na ich zmiernenie.


V prípade Plausible Deniability (vierohodného popretia) existuje niekoľko forenzných štúdií o technickom preukázaní prítomnosti skrytých údajov jednoduchým forenzným skúmaním (bez Cold Boot/Evil Maid Attack), ktoré však boli spochybnené inými štúdiami a správcom Veracryptu, takže by som sa nimi zatiaľ príliš nezaoberal.


Rovnaké opatrenia, ktoré sa používajú na zmiernenie útokov Evil Maid, by mali platiť aj pre útoky Cold Boot s niektorými pridanými:


  • Ak to váš operačný systém alebo šifrovací softvér umožňuje, mali by ste zvážiť šifrovanie kľúčov aj v pamäti RAM (je to možné v systéme Windows/Veracrypt a bude vysvetlené neskôr)
  • Mali by ste obmedziť používanie pohotovostného režimu spánku a namiesto toho používať vypnutie alebo hibernáciu, aby ste zabránili tomu, že šifrovacie kľúče zostanú v pamäti RAM, keď sa počítač uspí. Spánkový režim totiž zachová výkon pamäte na rýchlejšie obnovenie činnosti. Iba hibernácia a vypnutie skutočne vymažú kľúč z pamäte.

Pozri tiež https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] a https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org].


Tu je tiež niekoľko zaujímavých nástrojov, ktoré by mali používatelia Linuxu zvážiť na obranu proti nim:



O spánku, hibernácii a vypínaní.


Ak chcete dosiahnuť lepšiu bezpečnosť, mali by ste notebook úplne vypnúť vždy, keď ho necháte bez dozoru alebo zatvoríte veko. To by malo vyčistiť a/alebo uvoľniť pamäť RAM a poskytnúť zmiernenie proti útokom pri studenom štarte. Môže to však byť trochu nepohodlné, pretože budete musieť úplne reštartovať počítač a zadať množstvo hesiel do rôznych aplikácií. Reštartujte rôzne virtuálne počítače a iné aplikácie. Namiesto toho by ste teda mohli použiť aj hibernáciu (nie je podporovaná v operačnom systéme Qubes). Keďže celý disk je zašifrovaný, hibernácia by sama o sebe nemala predstavovať veľké bezpečnostné riziko, ale aj tak vypne notebook a vyčistí pamäť, pričom vám umožní potom pohodlne pokračovať v práci. Čo by ste však nikdy nemali robiť, je používať štandardnú funkciu spánku, ktorá udrží počítač zapnutý a pamäť napájanú. Ide o vektor útoku proti útokom typu evil-maid a cold-boot, o ktorých sme už hovorili. V zapnutej pamäti sa totiž nachádzajú šifrovacie kľúče k vášmu disku (šifrované alebo nešifrované), ku ktorým by potom mohol získať prístup skúsený protivník.


Táto príručka neskôr poskytne návod, ako zapnúť hibernáciu na rôznych hostiteľských operačných systémoch (okrem Qubes OS), ak sa nechcete zakaždým vypínať.


Miestne úniky údajov (stopy) a forenzné skúmanie.


Ako už bolo stručne spomenuté, ide o úniky údajov a stopy z operačného systému a aplikácií pri vykonávaní akejkoľvek činnosti na počítači. Tieto sa väčšinou týkajú zašifrovaných kontajnerov so súbormi (s hodnoverným popretím alebo bez neho) než šifrovania celého operačného systému. Takéto úniky sú menej "dôležité", ak je zašifrovaný celý OS (ak nie ste nútení prezradiť heslo).


Povedzme, že máte napríklad zašifrovaný kľúč USB Veracrypt so zapnutou hodnovernou popierateľnosťou. V závislosti od hesla, ktoré použijete pri pripojení kľúča USB, sa otvorí vábivý priečinok alebo citlivý priečinok. V rámci týchto priečinkov budete mať dokumenty/údaje vo vábiacom priečinku a citlivé dokumenty/údaje v citlivom priečinku.


Vo všetkých prípadoch tieto priečinky (s najväčšou pravdepodobnosťou) otvoríte pomocou Prieskumníka systému Windows, Finderu systému MacOS alebo akéhokoľvek iného nástroja a urobíte všetko, čo ste plánovali urobiť. Možno budete upravovať dokument v rámci citlivého priečinka. Možno budete vyhľadávať dokument v rámci priečinka. Možno ho odstránite alebo si pozriete citlivé video pomocou VLC.


No všetky tieto aplikácie a váš operačný systém môžu uchovávať protokoly a stopy tohto používania. Môže to zahŕňať úplnú cestu k priečinku/súborom/diskom, čas, kedy sa k nim pristupovalo, dočasné vyrovnávacie pamäte týchto súborov, zoznamy "posledných" v jednotlivých aplikáciách, systém indexovania súborov, ktorý by mohol indexovať disk, a dokonca aj miniatúry, ktoré by sa mohli generovať


Tu je niekoľko príkladov takýchto únikov:


Windows.


  • Windows ShellBags, ktoré sú uložené v registri systému Windows a v tichosti uchovávajú rôzne histórie prístupných zväzkov/súborov/priečinkov.
  • Indexovanie systému Windows, ktoré štandardne uchováva stopy súborov prítomných v používateľskom priečinku.
  • Nedávne zoznamy (alias zoznamy skokov) v systéme Windows a v rôznych aplikáciách, ktoré uchovávajú stopy po nedávno otvorených dokumentoch.
  • Mnoho ďalších stôp v rôznych záznamoch, viac informácií nájdete na tomto zaujímavom plagáte: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

MacOS.


  • Gatekeeper290 a XProtect sledujúce históriu sťahovania v miestnej databáze a atribúty súborov.
  • Indexovanie Spotlight
  • Nedávne zoznamy v rôznych aplikáciách uchovávajúce stopy po nedávno otvorených dokumentoch.
  • Dočasné priečinky uchovávajúce rôzne stopy používania aplikácií a dokumentov.
  • Protokoly MacOS
  • ...

Linux.


  • Linux: indexovanie sledovačov
  • História Bash
  • Protokoly USB
  • Posledné zoznamy v rôznych aplikáciách, ktoré uchovávajú stopy po nedávno prístupných dokumentoch.
  • Protokoly Linuxu
  • ...

Forenzní experti by mohli využiť všetky tieto úniky (pozrite si časť Lokálne úniky údajov a forenzná expertíza) na preukázanie existencie skrytých údajov a na prekonanie vašich pokusov o použitie hodnoverného popierania a na zistenie vašich rôznych citlivých činností.


Preto bude dôležité uplatniť rôzne kroky, aby ste tomu zabránili forenzným expertom, a to prevenciou a čistením týchto únikov/stôp a predovšetkým používaním šifrovania celého disku, virtualizácie a kompartmentalizácie.


Forenzní pracovníci nemôžu získať lokálne úniky údajov z operačného systému, ku ktorému nemajú prístup. A väčšinu týchto stôp budete môcť vyčistiť vymazaním disku alebo bezpečným vymazaním virtuálnych počítačov (čo na diskoch SSD nie je také jednoduché, ako si myslíte).


Niektorými technikami čistenia sa napriek tomu budeme zaoberať v časti "Zahlaďte stopy" na samom konci tejto príručky.


Úniky údajov online.


Či už používate jednoduché šifrovanie alebo šifrovanie hodnoverného popierania. Aj v prípade, že ste zakryli stopy na samotnom počítači. Stále existuje riziko úniku údajov online, ktoré by mohlo odhaliť prítomnosť skrytých údajov.


Telemetria je váš nepriateľ. Ako už bolo vysvetlené v tejto príručke, telemetria operačných systémov, ale aj aplikácií môže odosielať ohromujúce množstvo súkromných informácií online.


V prípade systému Windows by sa tieto údaje mohli použiť napríklad na preukázanie existencie skrytého operačného systému / zväzku v počítači a boli by ľahko dostupné v spoločnosti Microsoft. Preto je mimoriadne dôležité, aby ste telemetriu zakázali a zablokovali všetkými dostupnými prostriedkami. Bez ohľadu na to, aký operačný systém používate.


Záver.


Nikdy by ste nemali vykonávať citlivé činnosti z nešifrovaného systému. A aj keď je šifrovaný, pravdepodobne by ste nikdy nemali vykonávať citlivé činnosti zo samotného hostiteľského operačného systému. Namiesto toho by ste mali používať virtuálny počítač, aby ste mohli účinne izolovať a rozdeliť svoje činnosti a zabrániť lokálnym únikom údajov.


Ak máte malé alebo žiadne znalosti o Linuxe alebo ak chcete použiť hodnoverné popieranie v rámci celého OS, odporúčam vám, aby ste kvôli pohodliu zvolili systém Windows (alebo sa vrátili k ceste Tails). Táto príručka vám pomôže čo najviac ho utvrdiť, aby ste zabránili únikom. Táto príručka vám tiež pomôže čo najviac utvrdiť MacOS a Linux, aby ste zabránili podobným únikom.


Ak nemáte záujem o plausible deniability v rámci celého operačného systému a chcete sa naučiť používať Linux, dôrazne odporúčam ísť cestou Linuxu alebo Qubes, ak to váš hardvér umožňuje.


V každom prípade by sa hostiteľský OS nikdy nemal používať na priame vykonávanie citlivých činností. Hostiteľský OS sa bude používať len na pripojenie k verejnému prístupovému bodu Wi-Fi. Počas vykonávania citlivých činností sa nebude používať a v ideálnom prípade by sa nemal používať na žiadne každodenné činnosti.


Zvážte aj prečítanie stránky https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org].
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Hostiteľský operačný systém Linux.


Ako už bolo spomenuté, neodporúčam používať váš každodenný notebook na veľmi citlivé činnosti. Alebo aspoň na ne neodporúčam používať váš operačný systém na mieste. Mohlo by to viesť k neželaným únikom údajov, ktoré by sa mohli použiť na vašu deanonymizáciu. Ak máte na to vyhradený notebook, mali by ste si preinštalovať čerstvý čistý OS. Ak nechcete vymazať notebook a začať odznova, mali by ste zvážiť cestu Tails alebo postupovať na vlastné riziko.


Odporúčam tiež, aby ste počiatočnú inštaláciu vykonali úplne offline, aby ste sa vyhli akémukoľvek úniku údajov.


Vždy by ste mali mať na pamäti, že napriek povesti nemusia byť hlavné distribúcie Linuxu (napríklad Ubuntu) nevyhnutne lepšie zabezpečené ako iné systémy, napríklad MacOS a Windows. Pozrite si tento odkaz, aby ste pochopili prečo https://madaidans-insecurities.github.io/linux.html [Archive.org].


Šifrovanie celého disku.


V prípade Ubuntu existujú dve možnosti:



V prípade iných distribúcií si to budete musieť zdokumentovať sami, ale pravdepodobne to bude podobné. Šifrovanie počas inštalácie je v kontexte tohto návodu len oveľa jednoduchšie.


Odmietnite/vypnite akúkoľvek telemetriu.



Zakážte všetko nepotrebné.



Hibernácia.


Ako už bolo vysvetlené, nemali by ste používať funkcie spánku, ale vypnúť alebo hibernovať notebook, aby ste zmiernili niektoré útoky zlých služobníc a studeného štartu. Bohužiaľ, táto funkcia je v mnohých distribúciách Linuxu vrátane Ubuntu predvolene vypnutá. Je možné ju zapnúť, ale nemusí fungovať podľa očakávania. Postupujte podľa týchto informácií na vlastné riziko. Ak to nechcete urobiť, nikdy nepoužívajte funkciu uspania a namiesto toho vypnite počítač (a pravdepodobne nastavte správanie pri zatváraní veka na vypnutie namiesto uspania).


Postupujte podľa jedného z týchto návodov na zapnutie funkcie Hibernate:



Po povolení funkcie Hibernate zmeňte správanie tak, aby sa váš notebook po zatvorení veka hibernoval podľa tohto návodu pre Ubuntu 20.04 https://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/ [Archive.org] a tohto návodu pre Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org].


Bohužiaľ sa tým nevyčistí kľúč z pamäte priamo z pamäte pri hibernácii. Ak sa tomu chcete vyhnúť za cenu určitého zníženia výkonu, môžete zvážiť zašifrovanie súboru swap podľa tohto návodu: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]


Tieto nastavenia by mali zmierniť útoky pri studenom štarte, ak dokážete hibernovať dostatočne rýchlo.


Povoľte náhodný výber adries MAC.



Hardening Linux.


Ako ľahký úvod pre nových používateľov Linuxu zvážte
[Invidious]


Pre podrobnejšie a pokročilejšie možnosti sa obráťte na:



Nastavenie bezpečného prehliadača.


Pozri prílohu G: Bezpečný prehliadač v hostiteľskom operačnom systéme.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Hostiteľský operačný systém MacOS.


Poznámka: V súčasnosti táto príručka (zatiaľ) nepodporuje MacBooky s ARM M1. Z dôvodu, že Virtualbox túto architektúru zatiaľ nepodporuje. Mohlo by to však byť možné, ak použijete komerčné nástroje ako VMWare alebo Parallels, ale tie nie sú v tejto príručke zahrnuté.


Ako už bolo spomenuté, neodporúčam používať váš každodenný notebook na veľmi citlivé činnosti. Alebo aspoň na ne neodporúčam používať váš operačný systém na mieste. Mohlo by to viesť k neželaným únikom údajov, ktoré by sa mohli použiť na vašu deanonymizáciu. Ak máte na to vyhradený notebook, mali by ste si preinštalovať čerstvý čistý OS. Ak nechcete vymazať notebook a začať odznova, mali by ste zvážiť cestu Tails alebo postupovať na vlastné riziko.


Odporúčam tiež, aby ste počiatočnú inštaláciu vykonali úplne offline, aby ste sa vyhli akémukoľvek úniku údajov.


Nikdy sa neprihlasujte do svojho konta Apple pomocou tohto počítača Mac.


Počas inštalácie.


  • Zostaňte offline
  • Po výzve vypnite všetky požiadavky na zdieľanie údajov vrátane služieb určovania polohy.
  • Neprihlasujte sa do služby Apple
  • Nepovoľte Siri

Zlepšenie MacOS.


Ako ľahký úvod pre nových používateľov MacOS zvážte
[Invidious]


Ak chcete ísť do väčšej hĺbky pri zabezpečovaní a spevňovaní MacOS, odporúčam prečítať si túto príručku GitHub, ktorá by mala pokryť mnohé problémy: https://github.com/drduh/macOS-Security-and-Privacy-Guide [Archive.org]


Tu sú uvedené základné kroky, ktoré by ste mali vykonať po offline inštalácii:


Povoľte heslo firmvéru pomocou možnosti "disable-reset-capability".


Najprv by ste mali nastaviť heslo firmvéru podľa tohto návodu od spoločnosti Apple: https://support.apple.com/en-us/HT204455 [Archive.org]


Bohužiaľ, niektoré útoky sú stále možné a protivník by mohol toto heslo vypnúť, preto by ste mali postupovať aj podľa tohto návodu, aby ste zabránili vypnutiu hesla firmvéru od kohokoľvek vrátane spoločnosti Apple: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]


Povoľte hibernáciu namiesto spánku.


Opäť ide o prevenciu niektorých útokov typu cold-boot a evil-maid tým, že sa po zatvorení veka vypne operačná pamäť a vyčistí šifrovací kľúč. Vždy by ste mali buď hibernáciu, alebo vypnutie. V systéme MacOS má funkcia hibernácie dokonca špeciálnu možnosť, ktorá pri hibernácii špecificky vymaže šifrovací kľúč z pamäte (zatiaľ čo v iných operačných systémoch možno budete musieť čakať, kým sa pamäť rozloží). V rámci nastavení opäť neexistujú jednoduché možnosti, ako to urobiť, takže namiesto toho to budeme musieť urobiť spustením niekoľkých príkazov na zapnutie hibernácie:


  • Otvorte terminál
  • Spustite: sudo pmset -a destroyfvkeyonstandby 1
    • Tento príkaz dá systému MacOS pokyn na zničenie kľúča Filevault v pohotovostnom režime (spánok)
  • Spustite: sudo pmset -a hibernatemode 25
    • Tento príkaz dá MacOS pokyn, aby počas spánku vypol pamäť namiesto hybridného režimu hibernácie, ktorý udržiava pamäť zapnutú. Bude to mať za následok pomalšie prebúdzanie, ale zvýši sa tým životnosť batérie.

Teraz, keď zatvoríte veko MacBooku, mal by sa namiesto spánku hibernovať a zmierniť pokusy o vykonanie útokov studeným štartom.


Okrem toho by ste mali nastaviť aj automatický spánok (Nastavenia > Energia), aby sa váš MacBook automaticky hibernoval, ak zostane bez dozoru.


Vypnite nepotrebné služby.


V rámci nastavení vypnite niektoré nepotrebné nastavenia:


  • Vypnite Bluetooth
  • Zakázať fotoaparát a mikrofón
  • Zakázať služby určovania polohy
  • Vypnúť funkciu Airdrop
  • Zakázanie indexovania

Zabráňte volaniam Apple OCSP.


Ide o neslávne známe "odblokovateľné telemetrické" volania zo systému MacOS Big Sur, ktoré sú zverejnené tu: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]


Hlásenia OCSP môžete zablokovať zadaním nasledujúceho príkazu v Termináli:


  • V prípade, že by ste chceli, aby sa OCSP objavilo, môžete: sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Pred konaním by ste si však pravdepodobne mali zdokumentovať skutočný problém. Táto stránka je dobrým začiatkom: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]


Je to naozaj na vás. Ja by som to zablokoval, pretože nechcem vôbec žiadnu telemetriu z môjho OS do materskej spoločnosti bez môjho výslovného súhlasu. Žiadne.


Povoľte šifrovanie celého disku (Filevault).


Podľa tejto časti príručky by ste mali na svojom Macu povoliť šifrovanie celého disku pomocou služby Filevault: https: //github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org].


Pri povoľovaní buďte opatrní. Neukladajte kľúč na obnovu v Apple, ak sa zobrazí výzva (nemal by to byť problém, pretože v tejto fáze by ste mali byť offline). Zrejme nechcete, aby váš kľúč na obnovenie mala tretia strana.


Náhodný výber adresy MAC.


MacOS bohužiaľ neponúka natívny pohodlný spôsob náhodného výberu adresy MAC, a preto to budete musieť urobiť ručne. Pri každom reštarte sa táto adresa vynuluje a budete ju musieť zakaždým zopakovať, aby ste pri pripájaní k rôznym sieťam Wi-Fis nepoužívali svoju skutočnú adresu MAC.


Môžete to urobiť zadaním nasledujúcich príkazov v termináli (bez zátvoriek):


  • (Vypnite Wi-Fi) networksetup -setairportpower en0 off
  • (Zmena adresy MAC) sudo ifconfig en0 ether 88:63:11:11:11:11:11
  • (Zapnite Wi-Fi) networksetup -setairportpower en0 on

Nastavenie bezpečného prehliadača.


Pozri prílohu G: Bezpečný prehliadač v hostiteľskom OS


Hostiteľský OS Windows.


Ako už bolo spomenuté, neodporúčam používať váš každodenný notebook na veľmi citlivé činnosti. Alebo aspoň na ne neodporúčam používať váš operačný systém na mieste. Mohlo by to viesť k neželaným únikom údajov, ktoré by sa mohli použiť na vašu deanonymizáciu. Ak máte na to vyhradený notebook, mali by ste si preinštalovať čerstvý čistý OS. Ak nechcete vymazať notebook a začať odznova, mali by ste zvážiť cestu Tails alebo postupovať na vlastné riziko.


Odporúčam tiež, aby ste počiatočnú inštaláciu vykonali úplne offline, aby ste sa vyhli akémukoľvek úniku údajov.


Inštalácia.


Mali by ste postupovať podľa prílohy A: Inštalácia systému Windows


Ako ľahký úvod zvážte sledovanie
[Invidious]


Povolenie náhodného výberu adresy MAC.


MAC adresu by ste mali náhodne nastaviť, ako je vysvetlené v predchádzajúcej časti tejto príručky:


Prejdite do Nastavenia > Sieť a internet > Wi-Fi > Zapnúť náhodné hardvérové adresy


Prípadne môžete použiť tento bezplatný softvér: https: //technitium.com/tmac/ [Archive.org]


Nastavenie bezpečného prehliadača.


Pozri prílohu G: Bezpečný prehliadač v hostiteľskom operačnom systéme


Povoľte niektoré ďalšie nastavenia ochrany súkromia v hostiteľskom operačnom systéme.


Pozri Dodatok B: Ďalšie nastavenia ochrany osobných údajov systému Windows


Šifrovanie hostiteľského OS Windows.


Ak máte v úmysle používať hodnoverné popieranie v rámci celého systému.


Veracrypt je softvér, ktorý odporúčam na úplné šifrovanie disku, šifrovanie súborov a hodnoverné popieranie. Je to odnož známeho, ale zastaraného a neudržiavaného programu TrueCrypt. Možno ho použiť na


  • Jednoduché šifrovanie celého disku (váš pevný disk je zašifrovaný pomocou jednej prístupovej frázy).
  • šifrovanie celého disku s pravdepodobným popretím (to znamená, že v závislosti od heslovej frázy zadanej pri štarte systému sa spustí buď podvodný, alebo skrytý operačný systém).
  • Jednoduché šifrovanie súborového kontajnera (ide o veľký súbor, ktorý budete môcť pripojiť v rámci Veracryptu, ako keby to bol externý disk, na ktorý sa budú ukladať šifrované súbory).
  • Súborový kontajner s vierohodným zašifrovaním (ide o ten istý veľký súbor, ale v závislosti od prístupovej frázy, ktorú použijete pri jeho pripojení, pripojíte buď "skrytý zväzok", alebo "zväzok návnady").

Podľa mojich vedomostí je to jediný (pohodlný a použiteľný kýmkoľvek) bezplatný, otvorený a otvorene auditovaný šifrovací softvér, ktorý poskytuje aj hodnoverné popretie na všeobecné použitie a funguje s Windows Home Edition.


Kľudne si stiahnite a nainštalujte Veracrypt z: https://www.veracrypt.fr/en/Downloads.html [Archive.org]


Po inštalácii venujte chvíľu nasledujúcim možnostiam, ktoré pomôžu zmierniť niektoré útoky:


  • Šifrujte pamäť pomocou možnosti Veracrypt (nastavenia > výkon/možnosti ovládača > šifrovať RAM) za cenu 5-15 % výkonu. Toto nastavenie tiež zakáže hibernáciu (ktorá pri hibernácii aktívne nevymaže kľúč) a namiesto toho úplne zašifruje pamäť, aby sa zmiernili niektoré útoky pri studenom štarte.
  • Povoľte možnosť Veracrypt na vymazanie kľúčov z pamäte, ak sa vloží nové zariadenie (systém > nastavenia > zabezpečenie > vymazať kľúče z pamäte, ak sa vloží nové zariadenie). Mohlo by to pomôcť v prípade, že váš systém bude zabavený, keď je ešte zapnutý (ale uzamknutý).
  • Povoľte možnosť Veracrypt na pripojenie zväzkov ako vymeniteľných zväzkov (nastavenia > predvoľby > pripojiť zväzok ako vymeniteľné médium). Zabráni to systému Windows zapisovať niektoré záznamy o vašom pripojení do protokolov udalostí a zabráni to úniku niektorých lokálnych údajov.
  • Buďte opatrní a majte dobrý prehľad o situácii, ak cítite niečo zvláštne. Vypnite notebook čo najrýchlejšie.
  • Novšie verzie Veracryptu síce podporujú Secure Boot, ale odporúčam ho v systéme BIOS zakázať, pretože uprednostňujem systém Veracrypt Anti-Evil Maid pred Secure Boot.

Ak nechcete používať šifrovanú pamäť (pretože výkon by mohol byť problémom), mali by ste namiesto spánku zapnúť aspoň hibernáciu. To síce nevymaže kľúče z pamäte (stále ste zraniteľní voči útokom pri studenom štarte), ale malo by ich aspoň trochu zmierniť, ak má vaša pamäť dostatok času na rozpad.


Podrobnejšie informácie nájdete neskôr v časti Trasa A a B: Jednoduché šifrovanie pomocou Veracryptu (návod pre Windows).


Ak nemáte v úmysle používať celosystémovú hodnovernú popierateľnosť.


V tomto prípade odporúčam na úplné šifrovanie disku namiesto Veracryptu použiť BitLocker. Dôvodom je, že BitLocker na rozdiel od Veracryptu neponúka možnosť hodnoverného popretia. Tvrdý protivník potom nemá motiváciu pokračovať vo svojom "rozšírenom" výsluchu, ak odhalíte prístupovú frázu.


Za normálnych okolností by ste mali mať v tomto prípade nainštalovaný systém Windows Pro a nastavenie nástroja BitLocker je pomerne jednoduché.


V podstate môžete postupovať podľa tohto návodu: https: //support.microsoft.com/en-us...cryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org].


Tu sú však uvedené jednotlivé kroky:


  • Kliknite na ponuku systému Windows
  • Zadajte "Bitlocker"
  • Kliknite na "Spravovať Bitlocker"
  • Kliknite na "Zapnúť Bitlocker" na systémovej jednotke
  • Postupujte podľa pokynov
    • Ak sa zobrazí výzva, neukladajte kľúč na obnovenie do konta Microsoft.
    • Kľúč na obnovenie uložte iba na externý zašifrovaný disk. Ak to chcete obísť, vytlačte kľúč na obnovenie pomocou tlačiarne Microsoft Print to PDF a kľúč uložte v priečinku Dokumenty.
    • Zašifrujte celú jednotku (nešifrujte iba používaný priestor na disku).
    • Použite "Nový režim šifrovania"
    • Spustite kontrolu nástroja BitLocker
    • Reštartujte
  • Šifrovanie by sa teraz malo ne spustiť na pozadí (môžete skontrolovať kliknutím na ikonu BitLocker v pravej dolnej časti panela úloh).

Zapnite hibernáciu (voliteľné).


Opäť, ako bolo vysvetlené skôr. Nikdy by ste nemali používať funkciu spánku, aby ste zmiernili niektoré útoky typu cold-boot a evil-maid. Namiesto toho by ste mali Vypnúť alebo hibernovať. Pri zatváraní veka alebo pri prechode notebooku do režimu spánku by ste preto mali prepnúť svoj notebook do režimu spánku.


(Upozorňujeme, že hibernáciu nemôžete zapnúť, ak ste predtým v rámci Veracryptu povolili šifrovanie RAM).


Dôvodom je, že hibernácia v skutočnosti úplne vypne váš notebook a vyčistí pamäť. Spánok naopak ponechá pamäť zapnutú (vrátane vášho dešifrovacieho kľúča) a môže spôsobiť, že váš notebook bude zraniteľný voči útokom typu cold-boot.


V predvolenom nastavení vám Windows 10 túto možnosť nemusí ponúkať, preto by ste ju mali povoliť podľa tohto návodu spoločnosti Microsoft: https://docs.microsoft.com/en-us/tr.../deployment/disable-and-re-enable-hibernation [Archive.org]


  • Otvorte príkazový riadok správcu (kliknite pravým tlačidlom myši na položku Príkazový riadok a položku "Spustiť ako správca")
  • Spustite: powercfg.exe /hibernate on
  • Teraz spustite ďalší príkaz: **powercfg /h /type full**
    • Tento príkaz zabezpečí, že váš režim hibernácie je plný a úplne vyčistí pamäť (nie bezpečne tho).

Potom by ste mali prejsť do nastavení napájania:


  • Otvorte Ovládací panel
  • Otvorte Systém a zabezpečenie
  • Otvorte Možnosti napájania
  • Otvorte položku "Zvoľte, čo robí tlačidlo napájania"
  • Zmeňte všetko z režimu spánku na hibernáciu alebo vypnutie
  • Vráťte sa do Možnosti napájania
  • Vyberte položku Zmeniť nastavenia plánu
  • Vyberte položku Rozšírené nastavenia napájania
  • Zmeňte všetky hodnoty režimu spánku pre každý plán napájania na 0 (nikdy)
  • Uistite sa, že pre každý plán napájania je Hybridný režim spánku vypnutý
  • Povoľte režim hibernácie po požadovanom čase
  • Vypnite všetky časovače prebudenia

Rozhodnite sa, ktorú čiastkovú trasu zvolíte.


Teraz si budete musieť vybrať ďalší krok z dvoch možností:


  • Trasa A: Jednoduché šifrovanie vášho súčasného operačného systému
    • Výhody:
      • Nevyžaduje si vymazanie notebooku
      • Žiadny problém s lokálnym únikom údajov
      • Funguje dobre s jednotkou SSD
      • Funguje s akýmkoľvek operačným systémom
      • Jednoduché
    • Nevýhody:
      • Protivník vás môže prinútiť odhaliť vaše heslo a všetky vaše tajomstvá a nebude mať možnosť to hodnoverne poprieť.
      • Nebezpečenstvo úniku údajov online
  • Trasa B: Jednoduché šifrovanie vášho aktuálneho operačného systému s neskorším použitím hodnoverného popretia na samotné súbory:
    • Výhody:
      • Nevyžaduje si vymazanie notebooku
      • Funguje dobre s diskom SSD
      • Funguje s akýmkoľvek operačným systémom
      • Možnosť vierohodného popretia pri "mäkkých" protivníkoch
    • Nevýhody:
      • Nebezpečenstvo úniku údajov online
      • Nebezpečenstvo úniku lokálnych údajov (čo povedie k väčšej práci pri ich čistení)
  • Cesta C: Pravdepodobná možnosť popretia Šifrovanie operačného systému (na prenosnom počítači bude spustený "skrytý OS" a "návnada OS"):
    • Výhody:
      • Žiadne problémy s lokálnymi únikmi údajov
      • Možnosť vierohodného popretia pri "mäkkých" protivníkoch
    • Nevýhody:
      • Vyžaduje systém Windows (táto funkcia nie je "ľahko" podporovaná v systéme Linux).
      • Nebezpečenstvo úniku údajov online
      • Vyžaduje úplné vymazanie notebooku
      • Nemožno použiť s diskom SSD kvôli požiadavke vypnutia operácie Trim. Tým sa časom výrazne zníži výkon/zdravie jednotky SSD.

Ako vidíte, trasa C ponúka len dve výhody ochrany súkromia oproti ostatným a bude užitočná len proti mäkkému zákonnému protivníkovi. Pamätajte na https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org].


Rozhodnutie, ktorú cestu zvolíte, je na vás. Trasa A je minimálna.


Vždy sa uistite, že často kontrolujete nové verzie Veracryptu, aby ste mali istotu, že využijete najnovšie záplaty. Kontrolu vykonávajte najmä pred použitím rozsiahlych aktualizácií systému Windows, ktoré by mohli rozbiť zavádzač Veracrypt a poslať vás do štartovacej slučky.


POZNAMENÁVAJTE, ŽE VYTVORENÝ VERACRYPT VŽDY PONUKA SYSTÉMOVÉ HESLO V ČÍSLE (zobrazí heslo ako test). To môže spôsobiť problémy, ak pri zavádzaní používate klávesnicu notebooku (napríklad AZERTY), pretože heslo nastavíte v QWERTY a pri zavádzaní ho budete zadávať v AZERTY. Preto pri testovacom zavádzaní skontrolujte, aké rozloženie klávesnice používa váš systém BIOS. Mohlo by sa stať, že sa vám nepodarí prihlásiť len kvôli zámene QWERTY/AZERTY. Ak sa váš systém BIOS zavádza pomocou klávesnice AZERTY, budete musieť v rámci programu Veracrypt zadať heslo v QWERTY.



Trasa A a B: Jednoduché šifrovanie pomocou Veracryptu (návod pre Windows)


Tento krok preskočte, ak ste predtým namiesto toho použili nástroj BitLocker.


Pre túto metódu nemusíte mať HDD a pri tejto ceste nemusíte vypínať funkciu Trim. Úniky Trim budú užitočné len pre forenzných expertov pri zisťovaní prítomnosti skrytého zväzku, ale inak nebudú mať veľký význam.


Táto cesta je pomerne jednoduchá a zašifruje len váš aktuálny operačný systém na mieste bez straty akýchkoľvek údajov. Nezabudnite si prečítať všetky texty, ktoré vám Veracrypt ukazuje, aby ste úplne pochopili, o čo ide.


  • Spustite program VeraCrypt
  • Prejdite do Nastavení:
    • Nastavenia > Výkon/možnosti ovládača > Šifrovať RAM
    • Systém > Nastavenia > Zabezpečenie > Vymazať kľúče z pamäte, ak je vložené nové zariadenie
    • Systém > Nastavenia > Windows > Zapnúť zabezpečenú plochu
  • Vyberte položku Systém
  • Vyberte položku Šifrovať systémový oddiel/pohybovú jednotku
  • Vyberte možnosť Normálne (jednoduché)
  • Vyberte možnosť Single-Boot (Jednorazové spustenie)
  • Ako šifrovací algoritmus vyberte AES (ak chcete porovnať rýchlosť, kliknite na tlačidlo Test)
  • Vyberte SHA-512 ako algoritmus hašovania (pretože prečo nie)
  • Zadajte silnú prístupovú frázu (čím dlhšia, tým lepšia, nezabudnite na prílohu A2: Pokyny pre heslá a prístupové frázy)
  • Zozbierajte trochu entropie náhodným pohybom kurzora, kým sa lišta nezaplní
  • Kliknite na tlačidlo Ďalej, keď sa zobrazí obrazovka Generované kľúče
  • Zachrániť alebo nezachrániť disk, no to je na vás. Odporúčam ho vytvoriť (pre každý prípad), len sa uistite, že je uložený mimo šifrovaného disku (napríklad kľúč USB, alebo počkajte a pozrite si koniec tejto príručky, kde nájdete návod na bezpečné zálohovanie). Na tomto záchrannom disku nebude uložená vaša prístupová fráza a na jeho používanie ju budete stále potrebovať.
  • Režim vymazania:
    • Ak na tomto prenosnom počítači ešte nemáte žiadne citlivé údaje, vyberte možnosť None (Žiadne).
    • Ak máte na disku SSD citlivé údaje, samotný Trim by sa o ne mal postarať, ale pre istotu odporúčam 1 prechod (náhodné údaje).
    • Ak máte citlivé údaje na HDD, nie je k dispozícii funkcia Trim a odporúčal by som aspoň 1 prechod.
  • Otestujte svoje nastavenie. Veracrypt teraz reštartuje váš systém, aby otestoval zavádzač pred šifrovaním. Tento test musí prejsť úspešne, aby sa šifrovanie mohlo uskutočniť.
  • Po reštartovaní počítača a úspešnom absolvovaní testu. Veracrypt vás vyzve na spustenie procesu šifrovania.
  • Spustite šifrovanie a počkajte na jeho dokončenie.
  • Ste hotoví, preskočte trasu B a prejdite na ďalšie kroky.

Bude nasledovať ďalšia časť o vytváraní zašifrovaných kontajnerov so súbormi pomocou funkcie Plausible Deniability v systéme Windows.


Trasa B: Šifrovanie Plausible Deniability so skrytým operačným systémom (len Windows)


Tento postup je podporovaný len v systéme Windows.


Tento postup sa odporúča len na jednotke HDD. Toto sa neodporúča na jednotke SSD.


Váš skrytý OS by nemal byť aktivovaný (pomocou produktového kľúča MS). Preto vám táto cesta odporučí a prevedie vás úplnou čistou inštaláciou, ktorá vymaže všetko na vašom notebooku.



Prečítajte si dokumentáciu Veracrypt https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org] (Proces vytvorenia časti Hidden Operating System) a https://www.veracrypt.fr/en/Security Requirements for Hidden Volumes.html [Archive.org] (Bezpečnostné požiadavky a opatrenia týkajúce sa skrytých zväzkov).


Takto bude váš systém vyzerať po dokončení tohto procesu:
2021 08 05 08 01


(Ilustrácia z dokumentácie Veracrypt, https://veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org])


Ako vidíte, tento proces si od začiatku vyžaduje, aby ste mali na pevnom disku dva oddiely.


Tento proces vykoná nasledujúce kroky:


  • Zašifruje váš druhý oddiel (vonkajší zväzok), ktorý bude vyzerať ako prázdny nenaformátovaný disk z návnady operačného systému.
  • Ponúkne vám možnosť skopírovať nejaký obsah návnady v rámci vonkajšieho zväzku.
    • V tomto prípade skopírujete svoju vábiacu zbierku Anime/***** z nejakého externého pevného disku na vonkajší zväzok.
  • Vytvorte skrytý zväzok v rámci vonkajšieho zväzku tohto druhého oddielu. Tu sa bude nachádzať skrytý operačný systém.
  • Na skrytý zväzok naklonujte svoju aktuálne spustenú inštaláciu systému Windows 10.
  • Vymažte aktuálne spustený systém Windows 10.
  • To znamená, že váš súčasný systém Windows 10 sa stane skrytým systémom Windows 10 a že budete musieť znovu nainštalovať nový operačný systém Windows 10.

Povinné, ak máte disk SSD a napriek tomu to chcete urobiť v rozpore s odporúčaním: Ako už bolo spomenuté, vypnutie funkcie Trim skráti životnosť vášho SSD disku a časom výrazne ovplyvní jeho výkon (váš notebook bude v priebehu niekoľkých mesiacov používania stále pomalší a pomalší, až sa stane takmer nepoužiteľným, potom budete musieť disk vyčistiť a všetko nainštalovať znova). Musíte to však urobiť, aby ste zabránili úniku údajov, ktorý by mohol umožniť kriminalistom prekaziť vaše hodnoverné popieranie. Jediný spôsob, ako to v súčasnosti obísť, je mať namiesto toho notebook s klasickým HDD diskom.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Krok 1: Vytvorenie inštalačného kľúča USB systému Windows 10


Pozrite si prílohu C: Vytvorenie inštalačného média systému Windows a prejdite na cestu kľúča USB.


Krok 2: Naštartujte kľúč USB a spustite proces inštalácie systému Windows 10 (skrytý operačný systém).



Krok 3: Nastavenia ochrany osobných údajov (skrytý OS)


Pozrite si Dodatok B: Ďalšie nastavenia ochrany osobných údajov systému Windows


Krok 4: Spustenie inštalácie Veracryptu a procesu šifrovania (Skrytý OS)


Nezabudnite si prečítať https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


Tento operačný systém nepripájajte k známej sieti Wi-Fi. Mali by ste si stiahnuť inštalačný program Veracrypt z iného počítača a skopírovať ho sem pomocou kľúča USB.


  • Inštalácia aplikácie Veracrypt
  • Spustite Veracrypt
  • Prejdite do Nastavení:
    • Upozorňujeme, že táto možnosť nie je kompatibilná s hibernáciou notebooku a znamená, že ho budete musieť úplne vypnúť.
    • Systém > Nastavenia > Zabezpečenie > Vymazať kľúče z pamäte, ak je vložené nové zariadenie
    • Systém > Nastavenia > Windows > Zapnúť zabezpečenú plochu
  • Prejdite do systému a vyberte možnosť Vytvoriť skrytý operačný systém
  • Dôkladne si prečítajte všetky výzvy
  • Ak sa zobrazí výzva, vyberte možnosť Single-Boot
  • Vytvorte vonkajší zväzok pomocou AES a SHA-512.
  • Na vonkajší zväzok použite všetko dostupné miesto na druhom oddiele
  • Použite silnú prístupovú frázu (nezabudnite na Dodatok A2: Pokyny pre heslá a prístupové frázy)
  • Vyberte možnosť yes to Large Files (Áno pre veľké súbory)
  • Vytvorte trochu Entropie pohybom myši, kým sa lišta nezaplní, a vyberte NTFS (nevyberajte exFAT, pretože chceme, aby tento vonkajší zväzok vyzeral "normálne", a NTFS je normálny).
  • Naformátujte vonkajší zväzok
  • Otvorte vonkajší zväzok:
    • V tejto fáze by ste mali na vonkajší zväzok skopírovať vábiace údaje. Mali by ste tam teda skopírovať nejaké citlivé, ale nie až tak citlivé súbory/priečinky. V prípade, že potrebujete odhaliť heslo k tomuto zväzku. Toto je dobré miesto pre vašu zbierku Anime/Mp3/filmov/*****.
    • Odporúčam, aby ste vonkajší zväzok nezapĺňali príliš veľa alebo príliš málo (približne 40 %). Nezabudnite, že musíte ponechať dostatok miesta pre Skrytý operačný systém (ktorý bude mať rovnakú veľkosť ako prvý oddiel, ktorý ste vytvorili počas inštalácie).
  • Pre skrytý zväzok použite silnú prístupovú frázu (samozrejme inú ako pre vonkajší zväzok).
  • Teraz vytvoríte skrytý zväzok, vyberte AES a SHA-512
  • Náhodnými pohybmi myši vyplňte lištu entropie až do konca
  • Sformátujte skrytý zväzok
  • Pokračujte v klonovaní
  • Veracrypt teraz reštartuje a naklonuje Windows, v ktorom ste začali tento proces, do Skrytého zväzku. Tento Windows sa stane vaším skrytým operačným systémom.
  • Po dokončení klonovania sa Veracrypt reštartuje v rámci skrytého systému
  • Veracrypt vás bude informovať, že Skrytý systém je teraz nainštalovaný, a potom vás vyzve, aby ste vymazali Pôvodný OS (ten, ktorý ste predtým nainštalovali pomocou kľúča USB).
  • Použite 1-Pass Wipe a pokračujte.
  • Teraz bude váš Skrytý OS nainštalovaný, prejdite na ďalší krok

Krok 5: Reštartujte a spustite kľúč USB a znovu spustite proces inštalácie systému Windows 10 (Decoy OS).


Teraz, keď je Hidden OS úplne nainštalovaný, budete musieť nainštalovať Decoy OS.


  • Vložte kľúč USB do prenosného počítača
  • Pozrite si prílohu A: Inštalácia systému Windows a pokračujte v opätovnej inštalácii systému Windows 10 Home (neinštalujte inú verziu a zostaňte pri Home).

Krok 6: Nastavenia ochrany osobných údajov (Decoy OS)


Pozrite si Dodatok B: Ďalšie nastavenia ochrany osobných údajov systému Windows


Krok 7: Spustenie inštalácie Veracryptu a procesu šifrovania (Decoy OS)


Teraz budeme šifrovať Decoy OS:


  • Nainštalujte Veracrypt
  • Spustite program VeraCrypt
  • Vyberte systém
  • Vyberte položku Šifrovať systémový oddiel/disk
  • Vyberte možnosť Normal (Simple)
  • Vyberte možnosť Single-Boot
  • Vyberte AES ako šifrovací algoritmus (ak chcete porovnať rýchlosť, kliknite na tlačidlo Test)
  • Vyberte SHA-512 ako algoritmus hašovania (pretože prečo nie)
  • Zadajte krátke slabé heslo (áno, toto je vážne, urobte to, bude to vysvetlené neskôr).
  • Zozbierajte trochu entropie náhodným pohybom kurzora, kým sa lišta nezaplní
  • Kliknite na tlačidlo Next (Ďalej), pretože sa zobrazí obrazovka Generated Keys (Generované kľúče)
  • Zachrániť alebo nezachrániť disk, nuž to je na vás. Odporúčam ho vytvoriť (pre istotu), len sa uistite, že ho uložíte mimo šifrovaného disku (napríklad kľúč USB, alebo počkajte a pozrite si koniec tejto príručky, kde nájdete návod na bezpečné zálohovanie). Na tomto záchrannom disku nebude uložená vaša prístupová fráza a na jeho používanie ju budete stále potrebovať.
  • Režim vymazania: Pre istotu vyberte možnosť 1-Pass
  • Predbežne otestujte svoje nastavenie. Veracrypt teraz reštartuje váš systém, aby otestoval zavádzač pred šifrovaním. Tento test musí prejsť úspešne, aby sa šifrovanie mohlo uskutočniť.
  • Po reštartovaní počítača a úspešnom absolvovaní testu. Veracrypt vás vyzve na spustenie procesu šifrovania.
  • Spustite šifrovanie a počkajte na jeho dokončenie.
  • Váš operačný systém Decoy je teraz pripravený na používanie.

Krok 8: Otestujte svoje nastavenie (spustenie v oboch režimoch)


Je čas otestovať vaše nastavenie.


  • Reštartujte počítač a zadajte heslovú frázu skrytého OS, mali by ste naštartovať v rámci skrytého OS.
  • Reštartujte počítač a zadajte heslovú frázu pre Decoy OS, mali by ste spustiť systém Decoy OS.
  • Spustite Veracrypt v systéme Decoy OS a pripojte druhý oddiel pomocou passphrase vonkajšieho zväzku (pripojte ho len na čítanie tak, že prejdete do Mount Options (Možnosti pripojenia) a vyberiete Read-Only (Len na čítanie)) a mal by sa pripojiť druhý oddiel len na čítanie so zobrazením vašich údajov z decoy (vaša zbierka Anime/*****). Teraz ju pripájate ako oddiel len na čítanie, pretože ak by ste na ňu zapisovali údaje, mohli by ste prepísať obsah vášho skrytého operačného systému.

Krok 9: Bezpečná zmena údajov návnady na vonkajšom zväzku


Skôr ako prejdete k ďalšiemu kroku, mali by ste sa naučiť spôsob bezpečného pripojenia vášho Vonkajšieho zväzku na zápis obsahu naň. Je to vysvetlené aj v tejto oficiálnej dokumentácii Veracryptu https://www.veracrypt.fr/en/Protection of Hidden Volumes.html [Archive.org].


Mali by ste to urobiť z bezpečného dôveryhodného miesta.


V podstate sa chystáte pripojiť svoj Vonkajší zväzok a zároveň v rámci možností pripojenia poskytnúť heslovú frázu skrytého zväzku, aby ste ochránili skrytý zväzok pred prepísaním. Veracrypt vám potom umožní zapisovať údaje na Vonkajší zväzok bez rizika prepísania akýchkoľvek údajov na Skrytom zväzku.


Táto operácia v skutočnosti nepripojí Skrytý zväzok a mala by zabrániť vytvoreniu akýchkoľvek forenzných dôkazov, ktoré by mohli viesť k odhaleniu Skrytého operačného systému. Počas vykonávania tejto operácie však budú obe heslá uložené v pamäti RAM, a preto by ste stále mohli byť náchylní na útok Cold-Boot. Ak chcete tento problém zmierniť, uistite sa, že máte možnosť šifrovať aj pamäť RAM.


  • Otvorte aplikáciu Veracrypt
  • Vyberte svoj druhý oddiel
  • Kliknite na tlačidlo Mount (Pripojiť)
  • Kliknite na položku Možnosti pripojenia
  • Zaškrtnite "Protect the Hidden volume..." (Chrániť skrytý zväzok). Možnosť
  • Zadajte prístupovú frázu skrytého operačného systému
  • Kliknite na tlačidlo OK
  • Zadajte prístupovú frázu vonkajšieho zväzku
  • Kliknite na tlačidlo OK
  • Teraz by ste mali byť schopní otvoriť a zapisovať do svojho vonkajšieho zväzku a meniť jeho obsah (kopírovať/presúvať/vymazávať/upravovať...)

Krok 10: Zanechajte nejaké forenzné dôkazy o vašom vonkajšom zväzku (s návnadou Data) v rámci vášho operačného systému Decoy


Musíme vytvoriť čo najvierohodnejší Decoy OS. Chceme tiež, aby si váš protivník myslel, že nie ste až takí šikovní.


Preto je dôležité, aby ste v rámci svojho Decoy OS dobrovoľne zanechali nejaké forenzné dôkazy o svojom Decoy obsahu. Tieto dôkazy umožnia forenzným expertom vidieť, že ste často pripájali svoj vonkajší zväzok, aby ste získali prístup k jeho obsahu.


Tu sú dobré tipy, ako zanechať nejaké forenzné dôkazy:


  • Prehrávajte obsah z vonkajšieho zväzku z vášho systému Decoy OS (napríklad pomocou VLC). Nezabudnite si uchovávať ich históriu.
  • Upravujte Dokumenty a pracujte v nich.
  • Opäť povoľte indexovanie súborov v systéme Decoy OS a zahrňte pripojený vonkajší zväzok.
  • Odpojte ho a často ho pripájajte, aby ste mohli sledovať nejaký Obsah.
  • Skopírujte nejaký Obsah z Vonkajšieho zväzku do operačného systému Decoy a potom ho nebezpečne odstráňte (jednoducho ho dajte do koša).
  • Na operačnom systéme Decoy OS majte nainštalovaného klienta Torrent, ktorý z času na čas použite na stiahnutie podobného obsahu, ktorý ponecháte na operačnom systéme Decoy OS.
  • Mohli by ste mať na Decoy OS nainštalovaného klienta VPN so známou vašou VPN (neplatenou v hotovosti).

Do systému Decoy OS neumiestňujte nič podozrivé, ako napr:


  • Tento návod
  • Akékoľvek odkazy na túto príručku
  • Akýkoľvek podozrivý anonymný softvér, napríklad Tor Browser

Poznámky.


Nezabudnite, že na to, aby tento scenár hodnoverného popierania fungoval, budete potrebovať platné výhovorky:


Urobte si čas a znovu si prečítajte "Možné vysvetlenia existencie dvoch oddielov Veracrypt na jednom disku" dokumentácie Veracrypt tu https://www.veracrypt.fr/en/VeraCrypt Hidden Operating System.html [Archive.org]


  • Používate Veracrypt, pretože používate systém Windows 10 Home, ktorý neobsahuje funkciu Bitlocker, ale napriek tomu ste chceli ochranu osobných údajov.
  • Máte dva oddiely, pretože ste chceli oddeliť Systém a Dáta kvôli jednoduchšej organizácii a pretože vám nejaký kamarát geek povedal, že je to lepšie pre výkon.
  • Použili ste slabé heslo na jednoduché pohodlné spúšťanie systému a silnú dlhú frázu na vonkajšom zväzku, pretože ste boli príliš leniví na to, aby ste pri každom spustení zadávali silnú frázu.
  • Druhý oddiel ste zašifrovali iným heslom ako Systém, pretože nechcete, aby niekto z vášho okolia videl vaše veci. A tak ste nechceli, aby tieto údaje boli dostupné komukoľvek.

Buďte opatrní:


  • Skrytý zväzok by ste nikdy nemali pripájať zo systému Decoy OS (NIKDY). Ak by ste to urobili, vytvorili by ste forenzné dôkazy o Skrytom zväzku v rámci systému Decoy OS, ktoré by mohli ohroziť váš pokus o hodnoverné popretie. Ak ste to aj tak urobili (úmyselne alebo omylom) z Decoy OS, existujú spôsoby, ako vymazať forenzné dôkazy, ktoré budú vysvetlené neskôr na konci tejto príručky.
  • Nikdy nepoužívajte systém Decoy OS z rovnakej siete (verejnej siete Wi-Fi) ako skrytý systém.
  • Keď pripojíte vonkajší zväzok z Decoy OS, nezapisujte žiadne údaje v rámci vonkajšieho zväzku, pretože by to mohlo prekryť to, čo vyzerá ako prázdne miesto, ale v skutočnosti je to váš skrytý OS. Vždy by ste ho mali pripojiť len na čítanie.
  • Ak chcete zmeniť obsah vonkajšieho zväzku Decoy, mali by ste použiť kľúč USB Live OS, na ktorom bude spustený Veracrypt.
  • Upozorňujeme, že Skrytý OS nebudete používať na vykonávanie citlivých činností, to sa bude vykonávať neskôr z virtuálneho počítača v rámci Skrytého OS. Skrytý OS vás má chrániť len pred mäkkým protivníkom, ktorý by mohol získať prístup k vášmu prenosnému počítaču a prinútiť vás prezradiť heslo.
  • Dávajte si pozor na akúkoľvek manipuláciu s vaším prenosným počítačom. Útoky zlých služobníkov môžu odhaliť váš skrytý OS.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Virtualbox v hostiteľskom operačnom systéme.


Nezabudnite na prílohu W: Virtualizácia.


Tento krok a nasledujúce kroky by sa mali vykonať z hostiteľského OS. Môže to byť buď váš hostiteľský OS s jednoduchým šifrovaním (Windows/Linux/MacOS), alebo váš skrytý OS s hodnoverným popieraním (len Windows).


V tomto postupe budeme vo veľkej miere využívať bezplatný softvér Oracle Virtualbox. Ide o virtualizačný softvér, v ktorom môžete vytvárať virtuálne stroje, ktoré emulujú počítač s konkrétnym operačným systémom (ak chcete použiť niečo iné, napríklad Xen, Qemu, KVM alebo VMWARE, pokojne tak urobte, ale táto časť príručky sa kvôli pohodliu zaoberá len Virtualboxom).


Mali by ste si teda uvedomiť, že Virtualbox nie je virtualizačný softvér s najlepšími výsledkami z hľadiska bezpečnosti a niektoré z hlásených problémov nie sú dodnes úplne odstránené, a ak používate Linux s trochu lepšími technickými zručnosťami, mali by ste zvážiť použitie KVM namiesto toho podľa príručky dostupnej na Whonixe tu https://www.whonix.org/wiki/KVM [Archive.org] a tu https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox.3F [Archive.org].


Niektoré kroky by ste mali vykonať vo všetkých prípadoch:


Všetky vaše citlivé činnosti sa budú vykonávať v hosťujúcom virtuálnom počítači so systémom Windows 10 Pro (tentoraz nie Home), Linux alebo MacOS.


Má to niekoľko výhod, ktoré vám výrazne pomôžu zostať v anonymite:


  • Malo by to zabrániť tomu, aby hosťujúci operačný systém virtuálneho počítača (Windows/Linux/MacOS), aplikácie a akákoľvek telemetria v rámci virtuálnych počítačov mali priamy prístup k vášmu hardvéru. Aj keď je váš VM napadnutý škodlivým softvérom, tento škodlivý softvér by nemal byť schopný dostať sa do VM a ohroziť váš skutočný notebook.
  • Umožní nám to vynútiť, aby všetka sieťová prevádzka z vášho klientského VM prebiehala cez iný VM Gateway, ktorý bude všetku prevádzku smerovať (torifikovať) do siete Tor. Ide o sieťový "kill switch". Váš VM úplne stratí sieťové pripojenie a prejde do režimu offline, ak druhý VM stratí pripojenie k sieti Tor.
  • Samotný VM, ktorý má pripojenie na internet len prostredníctvom brány siete Tor, sa bude pripájať k vašej službe VPN platenej v hotovosti prostredníctvom siete Tor.
  • Úniky DNS nebudú možné, pretože VM je v izolovanej sieti, ktorá musí bez ohľadu na všetko prechádzať cez Tor.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Vyberte si spôsob pripojenia.


V rámci tejto cesty existuje 7 možností:


  • Odporúčané a preferované:
    • Použiť samotný Tor (Používateľ > Tor > Internet)
    • V špecifických prípadoch použiť VPN cez Tor (Používateľ > Tor > VPN > Internet)
  • Možné, ak si to vyžaduje kontext:
    • Použiť VPN cez Tor cez VPN (Používateľ > VPN > Tor > VPN > Internet)
    • Použiť Tor cez VPN (Používateľ > VPN > Tor > Internet)
  • Neodporúča sa a je riskantné:
    • Použiť samotnú VPN (Používateľ > VPN > Internet)
    • Používanie VPN cez VPN (Používateľ > VPN > VPN > Internet)
  • Neodporúča sa a je veľmi riskantné (ale možné)
    • Žiadna VPN ani Tor (Používateľ > Internet)
2021 08 05 08 06

Len Tor.


Toto je preferované a najodporúčanejšie riešenie.
2021 08 05 08 06 1

Pri tomto riešení prechádza celá vaša sieť cez Tor a vo väčšine prípadov by to malo stačiť na zaručenie vašej anonymity.


Je tu jedna hlavná nevýhoda: Niektoré služby blokujú/zakázali uzly Tor Exit a neumožňujú vytváranie účtov z týchto uzlov.


Aby ste to zmiernili, možno budete musieť zvážiť ďalšiu možnosť: VPN cez Tor, ale zvážte niektoré riziká s tým spojené, ktoré sú vysvetlené v nasledujúcej časti.


VPN/Proxy cez Tor.


Toto riešenie môže v niektorých špecifických prípadoch priniesť určité výhody v porovnaní s používaním iba Toru, keď by prístup k cieľovej službe nebol možný z uzla Tor Exit. Dôvodom je, že mnohé služby Tor jednoducho otvorene zakážu, sťažia alebo zablokujú ( pozri https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org]).


Ako môžete vidieť na tomto obrázku, ak vašu hotovostnú (preferovanú)/Monero platenú VPN/Proxy kompromituje protivník (napriek ich vyhláseniu o ochrane osobných údajov a zásadám o nezaznamenávaní), nájde len anonymný hotovostný/Monero platený VPN/Proxy účet, ktorý sa pripája k ich službám z uzla Tor Exit.
2021 08 05 08 07

Ak sa protivníkovi nejakým spôsobom podarí kompromitovať aj sieť Tor, odhalí len IP adresu náhodnej verejnej Wi-Fi, ktorá nie je spojená s vašou identitou.


Ak protivník nejakým spôsobom kompromituje váš operačný systém VM (napríklad pomocou malvéru alebo exploitu), bude uväznený vo vnútornej sieti Whonix a nemal by byť schopný odhaliť IP verejnej Wi-Fi.


Toto riešenie má však jednu hlavnú nevýhodu, ktorú treba zvážiť: Rušenie izolácie toku Tor.


Izolácia toku je technika zmierňovania, ktorá sa používa na zabránenie niektorým korelačným útokom tým, že pre každú aplikáciu sú určené iné okruhy Tor. Tu je ilustrácia, ktorá ukazuje, čo je izolácia prúdu:
2021 08 05 08 08

(Ilustrácia od Marcela Martinsa, https://stakey.club/en/decred-via-tor-network/ [Archive.org])


VPN/Proxy cez Tor patrí na pravú stranu, čo znamená, že používanie VPN/Proxy cez Tor núti Tor používať jeden okruh pre všetky činnosti namiesto viacerých okruhov pre každú z nich. To znamená, že používanie VPN/Proxy cez Tor môže v niektorých prípadoch trochu znížiť účinnosť Toru, a preto by sa malo používať len v niektorých špecifických prípadoch:


  • Ak vaša cieľová služba neumožňuje výstupné uzly Tor.
  • Keď vám nevadí používanie spoločného okruhu Tor pre rôzne služby. Ako napríklad na používanie rôznych overených služieb.

Mali by ste však zvážiť, či túto metódu nepoužijete, keď je vaším cieľom len náhodné prehliadanie rôznych neautentifikovaných webových stránok, pretože nebudete mať prospech z izolácie toku a to by mohlo časom uľahčiť korelačné útoky pre protivníka medzi jednotlivými vašimi reláciami (pozrite si časť Vaša anonymizovaná prevádzka Tor/VPN). Ak je však vaším cieľom používať rovnakú identitu pri každej relácii na rovnakých overených službách, hodnota izolácie toku sa znižuje, pretože môžete byť korelovaní inými prostriedkami.


Mali by ste tiež vedieť, že izolácia prúdu nemusí byť v pracovnej stanici Whonix predvolene nakonfigurovaná. Je predkonfigurovaná len pre niektoré aplikácie (vrátane prehliadača Tor Browser).


Taktiež si uvedomte, že Stream Isolation nemusí nevyhnutne zmeniť všetky uzly vo vašom okruhu Tor. Niekedy môže zmeniť len jeden alebo dva. V mnohých prípadoch Izolácia prúdu (napríklad v rámci prehliadača Tor Browser) zmení iba reléový (stredný) uzol a výstupný uzol, pričom zachová rovnaký strážny (vstupný) uzol.


Viac informácií nájdete na adrese:



Tor cez VPN.


Možno vás to zaujíma: Čo tak použiť Tor cez VPN namiesto VPN cez Tor? No, ja by som to nevyhnutne nerobil:


  • Nevýhody:
    • Váš poskytovateľ VPN je len ďalší poskytovateľ internetových služieb, ktorý potom bude poznať vašu pôvodnú IP adresu a v prípade potreby vás bude môcť deanonymizovať. Nedôverujeme im. Uprednostňujem situáciu, keď váš poskytovateľ VPN nevie, kto ste. Z hľadiska anonymity to veľa nepridá.
    • Výsledkom by bolo, že by ste sa pripájali k rôznym službám pomocou IP výstupného uzla Tor, ktoré sú na mnohých miestach zakázané/označené. Z hľadiska pohodlia to nepomáha.
  • Výhody:
    • Hlavnou výhodou je naozaj to, že ak ste v nepriateľskom prostredí, kde je prístup cez Tor nemožný/nebezpečný/podozrivý, ale VPN je v poriadku.
    • Táto metóda tiež nenarušuje izoláciu Tor Stream.

Poznámka: Ak máte problémy s prístupom k sieti Tor z dôvodu blokovania/cenzúry, môžete skúsiť použiť Tor Bridges. Pozrite si prílohu X: Používanie mostov Tor v nepriateľských prostrediach.


Je tiež možné zvážiť možnosť VPN cez Tor cez VPN (Používateľ > VPN > Tor > VPN > Internet ), pričom namiesto toho môžete použiť dve platené VPN za peniaze/Monero. To znamená, že hostiteľský operačný systém pripojíte k prvej VPN z verejnej Wi-Fi, potom sa Whonix pripojí k Toru a nakoniec sa váš virtuálny počítač pripojí k druhej VPN cez Tor cez VPN ( pozri https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org]).


To bude mať samozrejme značný vplyv na výkon a môže to byť dosť pomalé, ale myslím si, že Tor je niekde potrebný na dosiahnutie rozumnej anonymity.


Dosiahnutie tohto cieľa je technicky jednoduché v rámci tejto trasy, potrebujete dva samostatné anonymné účty VPN a musíte sa pripojiť k prvej VPN z hostiteľského OS a postupovať podľa trasy.


Záver: Túto možnosť použite len vtedy, ak si myslíte, že používanie samotného Tor je riskantné/nemožné, ale VPN je v poriadku. Alebo len preto, že môžete a tak prečo nie.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Iba vo formáte VPN.


Táto cesta nebude vysvetlená ani odporúčaná.


Ak môžete používať VPN, potom by ste mali byť schopní pridať nad ňu vrstvu Tor. A ak môžete používať Tor, potom môžete nad Tor pridať anonymnú VPN, aby ste získali preferované riešenie.


Samotné používanie VPN alebo dokonca VPN nad VPN nemá zmysel, pretože tie sa dajú časom vystopovať. Jeden z poskytovateľov VPN bude poznať vašu skutočnú pôvodnú IP adresu (aj keď je v bezpečnom verejnom priestore) a aj keď pridáte jednu nad ňu, druhý bude stále vedieť, že ste používali tú druhú prvú službu VPN. Tým sa vaša deanonymizácia len mierne oneskorí. Áno, je to pridaná vrstva... ale je to trvalá centralizovaná pridaná vrstva a časom môžete byť deanonymizovaní. Ide len o reťazenie 3 poskytovateľov internetových služieb, ktorí všetci podliehajú zákonným požiadavkám.


Viac informácií nájdete v nasledujúcich odkazoch:



V kontexte tejto príručky je Tor niekde potrebný na dosiahnutie primeranej a bezpečnej anonymity a mali by ste ho používať, ak môžete.


Žiadna VPN/Tor.


Ak nemôžete používať VPN ani Tor tam, kde sa nachádzate, pravdepodobne sa nachádzate vo veľmi nepriateľskom prostredí, kde je dohľad a kontrola veľmi vysoká.


Jednoducho to nerobte, nestojí to za to a je to IMHO príliš riskantné. Môže vás takmer okamžite deanonymizovať akýkoľvek motivovaný protivník, ktorý by sa mohol dostať k vašej fyzickej polohe v priebehu niekoľkých minút.


Nezabudnite sa pozrieť späť do časti Protivníci (hrozby ) a Príloha S: Skontrolujte svoju sieť na sledovanie/cenzúru pomocou OONI.


Ak nemáte absolútne žiadnu inú možnosť a napriek tomu chcete niečo urobiť, pozrite si prílohu P: Čo najbezpečnejší prístup na internet, keď Tor/VPN nie je možný (na vlastné riziko) a zvážte namiesto toho cestu The Tails.


Záver: V prípade, že sa vám nepodarí získať informácie o tom, že ste sa dostali do siete Tor, môžete si vybrať z nasledujúcich možností.

2021 08 05 08 11

Nanešťastie, samotné používanie Tor vyvolá podozrenie platforiem mnohých destinácií. Ak budete používať iba Tor, budete čeliť mnohým prekážkam (captcha, chyby, ťažkosti s prihlásením). Okrem toho by vás používanie Toru na mieste, kde sa nachádzate, mohlo dostať do problémov už len kvôli tomu. Tor však zostáva najlepším riešením pre anonymitu a niekde musí byť pre anonymitu.


  • Ak je vaším zámerom vytvoriť trvalé zdieľané a overené identity na rôznych službách, kde je prístup z Toru ťažký, odporúčam možnosť VPN cez Tor (alebo v prípade potreby VPN cez Tor cez VPN). Môže byť o niečo menej bezpečná proti korelačným útokom z dôvodu narušenia izolácie toku Tor, ale poskytuje oveľa lepší komfort pri prístupe k online zdrojom ako len pomocou Toru. Je to "prijateľný" kompromis IMHP, ak ste dostatočne opatrní so svojou identitou.
  • Ak je však vaším zámerom len anonymné prehliadanie náhodných služieb bez vytvárania konkrétnych zdieľaných identít, používajte služby priateľské k Toru; alebo ak nechcete prijať tento kompromis v predchádzajúcej možnosti. Potom odporúčam použiť cestu iba Tor, aby ste si zachovali všetky výhody izolácie toku (alebo Tor cez VPN, ak potrebujete).
  • Ak sú problémom náklady, odporúčam možnosť Tor Only, ak je to možné.
  • Ak je prístup cez Tor aj VPN nemožný alebo nebezpečný, potom nemáte inú možnosť, ako sa bezpečne spoľahnúť na verejnú wi-fi. Pozri prílohu P: Čo najbezpečnejší prístup na internet, keď Tor a VPN nie sú možnosťou.

Ďalšie informácie nájdete aj v diskusiách tu, ktoré by vám mohli pomôcť pri rozhodovaní sa:


 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Získajte anonymnú sieť VPN/Proxy.


Tento krok preskočte, ak chcete používať iba Tor.


Pozrite si prílohu O: Získajte anonymnú VPN/Proxy.


Whonix.


Tento krok preskočte, ak nemôžete používať Tor.


Táto trasa bude používať Virtualizáciu a Whonix309 ako súčasť procesu anonymizácie. Whonix je distribúcia Linuxu zložená z dvoch virtuálnych strojov:


  • Whonix Workstation (ide o virtuálny počítač, v ktorom môžete vykonávať citlivé činnosti)
  • Brána Whonix (tento VM vytvorí pripojenie k sieti Tor a bude smerovať všetku sieťovú prevádzku z pracovnej stanice cez sieť Tor).

V tejto príručke preto navrhneme 2 varianty tejto trasy:


  • Trasa iba Whonix, pri ktorej je všetka prevádzka smerovaná cez sieť Tor (iba Tor alebo Tor cez VPN).
2021 08 05 08 13

Hybridná trasa Whonix, pri ktorej je všetka prevádzka smerovaná cez VPN platenú v hotovosti (preferovaná)/Monero cez sieť Tor (VPN cez Tor alebo VPN cez Tor cez VPN).

2021 08 05 08 13 1

Na základe mojich odporúčaní sa budete môcť rozhodnúť, ktorú variantu použijete. Odporúčam druhú z nich, ako bolo vysvetlené predtým.


Whonix je dobre udržiavaný a má rozsiahlu a neuveriteľne podrobnú dokumentáciu.


Poznámka k snímkam Virtualboxu.


Neskôr budete v rámci Virtualboxu vytvárať a spúšťať niekoľko virtuálnych strojov na citlivé činnosti. Virtualbox poskytuje funkciu s názvom "Snapshots" (Snímky), ktorá umožňuje uložiť stav virtuálneho počítača v ľubovoľnom okamihu. Ak sa neskôr budete chcieť z akéhokoľvek dôvodu vrátiť do tohto stavu, môžete kedykoľvek obnoviť túto snímku.


Dôrazne odporúčam, aby ste túto funkciu využili vytvorením snímky po prvej inštalácii/aktualizácii každého virtuálneho počítača. Táto snímka by sa mala urobiť pred ich použitím na akúkoľvek citlivú/anonymnú činnosť.


To vám umožní premeniť vaše VM na akési jednorazové "živé operačné systémy" (podobne ako predtým diskutovaný Tails). To znamená, že budete môcť vymazať všetky stopy po svojich aktivitách vo VM obnovením snímky do skoršieho stavu. Samozrejme, nebude to "také dobré" ako v prípade Tails (kde je všetko uložené v pamäti), pretože na pevnom disku môžu zostať stopy po tejto činnosti. Forenzné štúdie preukázali schopnosť obnoviť údaje z vráteného VM. Našťastie budú existovať spôsoby, ako tieto stopy po vymazaní alebo vrátení na predchádzajúcu snímku odstrániť. Takéto techniky budú rozobrané v časti Niektoré ďalšie opatrenia proti forenzným analýzam v tejto príručke.


Stiahnite si nástroje Virtualbox a Whonix.


V rámci hostiteľského operačného systému by ste si mali stiahnuť niekoľko vecí.



Týmto sa ukončia prípravy a teraz by ste mali byť pripravení začať nastavovať konečné prostredie, ktoré bude chrániť vašu anonymitu online.


Odporúčania pre tvrdenie Virtualboxu.


Pre ideálne zabezpečenie by ste mali dodržiavať odporúčania uvedené tu pre každý virtuálny počítač Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org]:


  • Zakázať zvuk.
  • Nepovoľte zdieľané priečinky.
  • Nepovoľte 2D akceleráciu. Toto sa vykonáva spustením nasledujúceho príkazu VBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
  • Nepovoľte 3D akceleráciu.
  • Nepovoľte sériový port.
  • Odstráňte disketovú jednotku.
  • Odstráňte jednotku CD/DVD.
  • Nepovoľte server Remote Display.
  • Povoľte PAE/NX (NX je bezpečnostná funkcia).
  • Zakážte rozhranie A*****I (Advanced Configuration and Power Interface). Toto sa vykoná spustením nasledujúceho príkazu VBoxManage modifyvm "vm-id" --a*****i on|off
  • Nepripájajte zariadenia USB.
  • Zakážte radič USB, ktorý je v predvolenom nastavení povolený. Nastavte ukazovacie zariadenie na "PS/2 Mouse", inak sa zmeny vrátia späť.

Nakoniec sa riaďte aj týmto odporúčaním na desynchronizáciu hodín, ktoré máte vo svojom virtuálnom stroji v porovnaní s hostiteľským operačným systémom https://www.whonix.org/wiki/Network...oof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org].


Tento posun by sa mal pohybovať v rozmedzí 60000 milisekúnd a mal by byť pre každý VM iný a tu je niekoľko príkladov (ktoré sa dajú neskôr použiť na akýkoľvek VM):


  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Zvážte aj použitie týchto zmiernení z VirtualBoxu na zmiernenie zraniteľností Spectre/Meltdown spustením tohto príkazu z programového adresára VirtualBoxu. Všetky sú popísané tu: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (uvedomte si, že môžu mať vážny vplyv na výkon vašich virtuálnych počítačov, ale mali by sa vykonať kvôli najlepšej bezpečnosti).


Nakoniec zvážte bezpečnostné rady od samotného Virtualboxu: https: //www.virtualbox.org/manual/ch13.html [Archive.org].
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Tor cez VPN.


Tento krok preskočte, ak nemáte v úmysle používať Tor cez VPN a plánujete používať iba Tor alebo nemôžete.


Ak máte v úmysle používať Tor cez VPN z akéhokoľvek dôvodu. Najprv musíte nakonfigurovať službu VPN v hostiteľskom operačnom systéme.


Nezabudnite, že v tomto prípade odporúčam mať dve kontá VPN. Oba platené v hotovosti/Monero (pozri Príloha O: Získajte anonymnú VPN/Proxy). Jeden bude použitý v hostiteľskom OS na prvé pripojenie VPN. Druhý by sa mohol použiť vo virtuálnom počítači na dosiahnutie VPN cez Tor cez VPN (Používateľ > VPN > Tor > VPN).


Ak máte v úmysle používať iba Tor cez VPN, stačí vám jeden účet VPN.


Pokyny nájdete v Prílohe R: Inštalácia VPN do virtuálneho počítača alebo hostiteľského OS.
 

HEISENBERG

ADMIN
ADMIN
Joined
Jun 24, 2021
Messages
1,643
Solutions
2
Reaction score
1,748
Points
113
Deals
666

Virtuálne stroje Whonix.


Tento krok preskočte, ak nemôžete používať Tor.



V tejto fáze nezabudnite, že ak máte problémy s pripojením k Toru z dôvodu cenzúry alebo blokovania, mali by ste zvážiť pripojenie pomocou Bridges, ako je vysvetlené v tomto návode https://www.whonix.org/wiki/Bridges [Archive.org].


  • Aktualizujte virtuálne počítače Whonix podľa pokynov na stránke https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org].
  • Vypnite virtuálne počítače Whonix
  • Urobte snímku aktualizovaných virtuálnych počítačov Whonix v rámci Virtualboxu (vyberte virtuálny počítač a kliknite na tlačidlo Urobiť snímku). Viac informácií o tom nájdete neskôr.
  • Prejdite na ďalší krok

Dôležitá poznámka: Mali by ste si prečítať aj tieto veľmi dobré odporúčania na adrese https://www.whonix.org/wiki/DoNot [Archive.org], pretože väčšina týchto zásad sa bude vzťahovať aj na tento návod. Mali by ste si tiež prečítať ich všeobecnú dokumentáciu tu https://www.whonix.org/wiki/Documentation [Archive.org], ktorá tiež poskytne množstvo rád ako tento sprievodca.
 
Top