Pot Whonixa.
Izbira gostiteljskega operacijskega sistema (operacijski sistem, ki je nameščen v vašem prenosnem računalniku).
Na tej poti se bodo v veliki meri uporabljali virtualni stroji, za zagon programske opreme za virtualizacijo pa bodo potrebovali gostiteljski OS. V tem delu vodnika imate na voljo tri priporočene izbire:
- izbrana distribucija Linuxa (razen operacijskega sistema Qubes)
- Windows 10 (po možnosti izdaja Home zaradi odsotnosti programa Bitlocker)
- MacOS (Catalina ali novejša različica)
Poleg tega so velike možnosti, da je ali je bil vaš Mac povezan z računom Apple (ob nakupu ali po prijavi) in bi zato lahko njegovi edinstveni identifikatorji strojne opreme v primeru uhajanja identifikatorjev strojne opreme vodili nazaj do vas.
Linux tudi ni nujno najboljša izbira za anonimnost, odvisno od vašega modela groženj. Uporaba sistema Windows nam bo namreč omogočila priročno uporabo verjetne zanikljivosti (t. i. Deniable Encryption) na ravni operacijskega sistema. Windows je žal hkrati tudi nočna mora zasebnosti, vendar je edina (priročna) možnost za uporabo verjetnega zanikanja na ravni operacijskega sistema. Telemetrija in blokiranje telemetrije v sistemu Windows sta tudi široko dokumentirana, kar bi moralo ublažiti številne težave.
Kaj je torej verjetna zanikanje? To je možnost sodelovanja z nasprotnikom, ki zahteva dostop do vaše naprave/podatkov, ne da bi razkril vašo pravo skrivnost. Vse to z uporabo zanikanja vrednega šifriranja.
Nezaupljiv nasprotnik lahko zahteva geslo za vaš šifrirani prenosni računalnik. Sprva bi lahko zavrnili izdajo kakršnega koli gesla (z uporabo "pravice do molka", "pravice, da se ne obremenjujete"), vendar nekatere države uvajajo zakone, ki to izvzemajo iz teh pravic (ker teroristi in "pomislite na otroke"). V tem primeru boste morda morali razkriti geslo ali pa vas morda čaka za*****a kazen zaradi nespoštovanja sodišča. Tu bo v igri verjetna zanikanost.
Nato lahko razkrijete geslo, vendar bo to geslo omogočilo dostop le do "verodostojnih podatkov" (operacijski sistem za zavajanje). Kriminalisti se bodo dobro zavedali, da je možno, da imate skrite podatke, vendar tega ne bi smeli dokazati
(če boste to storili pravilno). Sodelovali boste in preiskovalci bodo imeli dostop do nečesa, vendar ne do tistega, kar dejansko želite skriti. Ker bi moralo biti dokazno breme na njihovi strani, ne bodo imeli druge možnosti, kot da vam verjamejo, razen če bodo imeli dokaz, da imate skrite podatke.
To funkcijo lahko uporabite na ravni operacijskega sistema (verodostojni operacijski sistem in skriti operacijski sistem) ali na ravni datotek, kjer boste imeli šifrirano posodo za datoteke (podobno datoteki zip), v kateri bodo prikazane različne datoteke glede na uporabljeno šifrirno geslo.
To tudi pomeni, da lahko vzpostavite lastno napredno nastavitev "verjetnega zanikanja" z uporabo katerega koli gostiteljskega operacijskega sistema, tako da na primer virtualne stroje shranite v zabojnik Veracrypt s skrito glasnostjo (pazite na sledi v gostiteljskem OS tho, ki bi jih bilo treba očistiti, če je gostiteljski OS trajen, glejte poglavje
Nekateri dodatni ukrepi proti forenziki v nadaljevanju). Obstaja projekt za doseganje tega v okviru Tails
(https://github.com/aforensics/HiddenVM [Archive.org]), ki bi omogočil, da vaš gostiteljski operacijski sistem ne bi bil obstojen in bi uporabljal verjetnost zanikanja v okviru Tails.
V primeru operacijskega sistema Windows je verjetna možnost zanikanja tudi razlog, da bi morali imeti Windows 10 Home (in ne Pro). Sistem Windows 10 Pro namreč ponuja sistem šifriranja celotnega diska (Bitlocker), medtem ko sistem Windows 10 Home sploh ne ponuja šifriranja celotnega diska. Kasneje bomo za šifriranje uporabili odprtokodno programsko opremo tretje osebe, ki bo omogočila šifriranje celotnega diska v sistemu Windows 10 Home. To vam bo dalo dober (verodostojen) izgovor za uporabo te programske opreme. Medtem ko bi bila uporaba te programske opreme v sistemu Windows 10 Pro sumljiva.
Opomba o operacijskem sistemu Linux: Kaj pa Linux in verjetna možnost zanikanja? Da, tudi v sistemu Linux je mogoče doseči verodostojno zanikanje. Vendar je nastavitev zapletena in IMHO zahteva dovolj visoko raven spretnosti, da verjetno ne potrebujete tega vodnika, ki bi vam pomagal pri poskusu.
Na žalost šifriranje ni čarovnija in pri tem obstajajo nekatera tveganja:
Nevarnosti s šifriranjem.
Ključ za 5 dolarjev.
Ne pozabite, da šifriranje z verjetnim zanikanjem ali brez njega ni srebrna krogla in ne bo uporabno v primeru mučenja. Pravzaprav bi bilo glede na to, kdo bi bil vaš nasprotnik (vaš model grožnje), morda pametno, da sploh ne uporabljate programa Veracrypt (prej TrueCrypt), kot je prikazano v tej predstavitvi:
https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm [Archive.org].
Verjetno zanikanje je učinkovito le proti mehkim zakonitim nasprotnikom, ki ne bodo uporabili fizičnih sredstev.
Če je mogoče, se izogibajte uporabi programske opreme, ki omogoča verodostojno zanikanje (kot je Veracrypt), če vaš model nevarnosti vključuje trde nasprotnike. Uporabniki sistema Windows naj torej v tem primeru namestijo operacijski sistem Windows Pro kot gostiteljski operacijski sistem in namesto tega uporabijo Bitlocker.
Glej https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [
Archive.org]
Napad zlobne služabnice.
Napadi zlobne služabnice se izvajajo, ko nekdo posega po vašem prenosnem računalniku, medtem ko vas ni. Za namestitev kloni vaš trdi disk, namesti zlonamerno programsko opremo ali program za beleženje ključev. Če lahko klonirajo vaš trdi disk, lahko primerjajo eno sliko vašega trdega diska v času, ko so ga vzeli med vašo odsotnostjo, s trdim diskom, ko vam ga zasežejo. Če ste vmes prenosni računalnik ponovno uporabljali, bodo forenziki morda lahko dokazali obstoj skritih podatkov, če bodo pogledali razlike med obema slikama na mestu, ki bi moralo biti prazno/neizkoriščeno. To bi lahko privedlo do trdnih dokazov o obstoju skritih podatkov. Če v vaš prenosni računalnik namestijo beležilnik ključev ali zlonamerno programsko opremo (programsko ali strojno), bodo lahko od vas preprosto pridobili geslo za poznejšo uporabo, ko ga bodo zasegli. Takšne napade lahko izvedejo na vašem domu, v hotelu, na mejnem prehodu ali kjer koli, kjer pustite svoje naprave brez nadzora.
Ta napad lahko ublažite z naslednjimi ukrepi (kot je bilo priporočeno prej):
- Imejte osnovno zaščito pred nepooblaščenim posegom (kot je bilo pojasnjeno prej), da preprečite fizični dostop do notranjosti prenosnega računalnika brez vaše vednosti. S tem boste preprečili, da bi klonirali vaše diske in brez vaše vednosti namestili fizični beležnik ključev.
- V sistemu BIOS/UEFI, zaščitenem z geslom, onemogočite vsa vrata USB (kot je bilo pojasnjeno prej). Tudi v tem primeru jih ne bodo mogli vklopiti (brez fizičnega dostopa do matične plošče za ponastavitev BIOS-a) in zagnati naprave USB, ki bi lahko klonirala vaš trdi disk ali namestila zlonamerno programsko opremo, ki bi lahko delovala kot beležnica ključev.
- Nastavite gesla BIOS/UEFI/Firmware, da preprečite nepooblaščen zagon nepooblaščene naprave.
- Nekateri operacijski sistemi in programska oprema za šifriranje imajo zaščito pred zlobno služabnico, ki jo lahko omogočite. To velja za Windows/Veracrypt in QubeOS.
Napad s hladnim zagonom.
Napadi s hladnim zagonom so zahtevnejši od napada Evil Maid, vendar so lahko del napada Evil Maid, saj zahtevajo, da se nasprotnik polasti vašega prenosnega računalnika, ko aktivno uporabljate napravo ali kmalu po tem.
Zamisel je precej preprosta, kot je prikazano v tem videoposnetku, lahko nasprotnik teoretično hitro zažene vašo napravo s posebnim ključem USB, ki bi kopiral vsebino RAM-a (pomnilnika) naprave, ko jo izklopite. Če so vrata USB onemogočena ali če se mu zdi, da potrebuje več časa, bi jo lahko odprl in "ohladil" pomnilnik z uporabo pršila ali drugih kemikalij (na primer tekočega dušika), kar bi preprečilo razpad pomnilnika. Nato bi lahko kopirali njegovo vsebino za analizo. Ta izpis pomnilnika bi lahko vseboval ključ za dešifriranje naprave. Pozneje bomo uporabili nekaj načel za njihovo ublažitev.
V primeru verjetnega zanikanja je bilo opravljenih nekaj forenzičnih študij o tehničnem dokazovanju prisotnosti skritih podatkov s preprostim forenzičnim pregledom (brez napada Cold Boot/Evil Maid), vendar so jih druge študije in vzdrževalec Veracrypta izpodbijali, zato se z njimi še ne bi preveč obremenjeval.
Enaki ukrepi, ki se uporabljajo za ublažitev napadov Evil Maid, bi morali veljati tudi za napade Cold Boot z nekaj dodatnimi ukrepi:
- Če vaš operacijski sistem ali programska oprema za šifriranje to omogoča, morate razmisliti o šifriranju ključev tudi v pomnilniku RAM (to je mogoče z operacijskim sistemom Windows/Veracrypt in bo pojasnjeno pozneje)
- Omejiti morate uporabo stanja pripravljenosti za spanje in namesto tega uporabiti izklop ali hibernacijo, da preprečite, da bi šifrirni ključi ostali v pomnilniku RAM, ko računalnik preide v stanje mirovanja. Spanje bo namreč ohranilo moč pomnilnika za hitrejše nadaljevanje dejavnosti. Le hibernacija in izklop bosta dejansko izbrisala ključ iz pomnilnika.
Oglejte si tudi
https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] in
https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]
Tukaj je tudi nekaj zanimivih orodij, ki jih lahko uporabniki Linuxa upoštevajo za obrambo pred temi:
O spanju, hibernaciji in izklopu.
Če želite boljšo varnost, morate prenosnik popolnoma izklopiti vsakič, ko ga pustite brez nadzora ali zaprete pokrov. S tem očistite in/ali sprostite pomnilnik RAM in zagotovite zaščito pred napadi s hladnim zagonom. Vendar pa je to lahko nekoliko neprijetno, saj boste morali ponovno zagnati računalnik in v različne aplikacije vnesti več gesel. Ponovno zaženite različne virtualne računalnike in druge aplikacije. Zato lahko namesto tega uporabite tudi hibernacijo (ni podprta v operacijskem sistemu Qubes OS). Ker je celoten disk šifriran, hibernacija sama po sebi ne bi smela predstavljati velikega varnostnega tveganja, kljub temu pa bo ugasnila prenosnik in počistila pomnilnik, hkrati pa vam bo omogočila, da boste po tem udobno nadaljevali z delom.
Nikoli pa ne smete uporabljati standardne funkcije mirovanja, zaradi katere bo računalnik ostal vklopljen, pomnilnik pa vklopljen. To je vektor napada na napade zlobne služabnice in hladnega zagona, o katerih smo že govorili. V vklopljenem pomnilniku so namreč shranjeni šifrirni ključi vašega diska (šifrirani ali ne), do katerih lahko izurjen nasprotnik dostopa.
V tem priročniku bodo pozneje podana navodila, kako omogočiti hibernacijo v različnih gostiteljskih operacijskih sistemih (razen Qubes OS), če se ne želite vsakič izklopiti.
Lokalno uhajanje podatkov (sledi) in forenzični pregled.
Kot je bilo na kratko omenjeno prej, gre za uhajanje podatkov in sledi operacijskega sistema in aplikacij, ko v računalniku izvajate kakršno koli dejavnost. Ti se večinoma nanašajo na šifrirane vsebnike datotek (z verjetnim zanikanjem ali brez njega) kot na šifriranje celotnega operacijskega sistema. Takšna uhajanja so manj "pomembna", če je šifriran celoten operacijski sistem (če niste prisiljeni razkriti gesla).
Recimo, da imate na primer šifriran ključ USB z Veracryptom in omogočeno verjetnostjo zanikanja. Odvisno od gesla, ki ga uporabite pri namestitvi ključa USB, se bo odprla vabeča mapa ali občutljiva mapa. V teh mapah bodo dokumenti/podatki, namenjeni za laž, v mapi za laž, in občutljivi dokumenti/podatki v mapi za občutljive podatke.
V vseh primerih boste (najverjetneje) te mape odprli z Raziskovalcem Windows, Finderjem MacOS ali katerim koli drugim orodjem in naredili, kar ste načrtovali. Morda boste urejali dokument v občutljivi mapi. Morda boste iskali dokument v mapi. Morda boste enega izbrisali ali si ogledali občutljiv videoposnetek s programom VLC.
Vse te aplikacije in operacijski sistem lahko hranijo dnevnike in sledi te uporabe. To lahko vključuje celotno pot do mape/datotek/diskov, čas dostopa do njih, začasne predpomnilnike teh datotek, sezname "zadnjih" v posameznih aplikacijah, sistem indeksiranja datotek, ki bi lahko indeksiral disk, in celo sličice, ki bi se lahko ustvarile.
Tukaj je nekaj primerov takih uhajanj:
Windows.
- V registru sistema Windows so shranjene različne zgodovine dostopnih volumnov/datotek/pomnilnikov, do katerih se tiho shranjuje.
- Indeksiranje sistema Windows, ki privzeto hrani sledove datotek, ki so prisotne v vaši uporabniški mapi.
- seznami nedavnih dokumentov (imenovani tudi skočni seznami) v sistemu Windows in različnih aplikacijah, ki hranijo sledi nedavno dostopanih dokumentov.
- Še veliko več sledi v različnih dnevnikih, za več vpogleda si oglejte ta zanimiv plakat: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]
MacOS.
- Gatekeeper290 in XProtect, ki v lokalni zbirki podatkov in atributih datotek hranita sledi zgodovine prenosov.
- Indeksiranje Spotlight
- Seznami nedavnih dokumentov v različnih aplikacijah, ki hranijo sledove nedavno dostopanih dokumentov.
- Začasne mape, ki hranijo različne sledi uporabe aplikacij in dokumentov.
- Dnevniki MacOS
- ...
Linux.
- Linux: indeksiranje sledilcev
- Zgodovina sistema Bash
- Dnevniki USB
- Zadnji seznami v različnih aplikacijah, ki hranijo sledove nedavno dostopanih dokumentov.
- Dnevniki Linuxa
- ...
Forenziki lahko vse te uhajanja podatkov uporabijo (glejte poglavje
Lokalno uhajanje podatkov in forenziki), da dokažejo obstoj skritih podatkov in onemogočijo vaše poskuse uporabe verjetnega zanikanja ter ugotovijo vaše različne občutljive dejavnosti.
Zato bo pomembno, da uporabite različne ukrepe za preprečitev tega forenzikom s preprečevanjem in čiščenjem teh uhajanj/sledi ter, kar je še pomembneje, z uporabo šifriranja celotnega diska, virtualizacije in kompartmentalizacije.
Kriminalisti ne morejo pridobiti lokalnih uhajanj podatkov iz operacijskega sistema, do katerega nimajo dostopa. Večino teh sledi pa boste lahko očistili z brisanjem diska ali z varnim brisanjem virtualnih strojev (kar pri diskih SSD ni tako enostavno, kot se vam zdi).
Nekatere tehnike čiščenja bodo kljub temu zajete v delu "Zakrivanje sledi" tega vodnika na samem koncu.
Spletno uhajanje podatkov.
Ne glede na to, ali uporabljate preprosto šifriranje ali šifriranje z verjetnim zanikanjem. Tudi če ste svoje sledi zakrili v samem računalniku. Še vedno obstaja nevarnost spletnega uhajanja podatkov, ki lahko razkrije prisotnost skritih podatkov.
Telemetrija je vaš sovražnik. Kot je pojasnjeno prej v tem vodniku, lahko telemetrija operacijskih sistemov, pa tudi aplikacij, pošlje na splet osupljive količine zasebnih podatkov.
V primeru operacijskega sistema Windows bi lahko te podatke na primer uporabili za dokazovanje obstoja skritega operacijskega sistema / zvezka v računalniku in bi bili zlahka na voljo pri Microsoftu. Zato je izjemno pomembno, da telemetrijo onemogočite in blokirate z vsemi razpoložljivimi sredstvi. Ne glede na to, kateri operacijski sistem uporabljate.
Zaključek.
Nikoli ne smete izvajati občutljivih dejavnosti iz nešifriranega sistema. In tudi če je šifriran, verjetno nikoli ne smete izvajati občutljivih dejavnosti iz samega gostiteljskega operacijskega sistema. Namesto tega uporabite virtualni stroj, da boste lahko učinkovito izolirali in razdelili svoje dejavnosti ter preprečili lokalno uhajanje podatkov.
Če imate malo ali nič znanja o Linuxu ali če želite uporabiti verodostojno zanikanje v celotnem operacijskem sistemu, vam priporočam, da zaradi udobja izberete Windows (ali se vrnete na pot Tails). Ta vodnik vam bo pomagal, da ga čim bolj utrdite in tako preprečite uhajanje podatkov. Ta vodnik vam bo pomagal tudi pri čim večji zaščiti sistemov MacOS in Linux za preprečevanje podobnih uhajanj.
Če vas ne zanima verjetnost zanikanja za celoten operacijski sistem in se želite naučiti uporabljati Linux, vam močno priporočam, da se odločite za Linux ali pot Qubes, če to omogoča vaša strojna oprema.
V vseh primerih gostiteljskega operacijskega sistema nikoli ne smete uporabljati za neposredno izvajanje občutljivih dejavnosti. Gostiteljski operacijski sistem se bo uporabljal samo za povezavo z javno dostopno točko Wi-Fi. Med izvajanjem občutljivih dejavnosti bo ostal neuporabljen in ga v idealnem primeru ne bi smeli uporabljati za nobeno od svojih vsakodnevnih dejavnosti.
Razmislite tudi o branju
https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs [Archive.org]