Полное руководство по : безопасности/анонимности/конфиденциальности в сети. (Содержание 2.ч)

Меры предосторожности при чтении этого руководства и доступе к различным ссылкам:

  • Рядом с документами/файлами есть ссылка [Archive.org] для доступа к содержимому через Archive.org для повышения конфиденциальности и на случай пропажи содержимого. Некоторые ссылки еще не заархивированы или устарели на archive.org, и в этом случае мы рекомендуем вам запросить новое сохранение, если это возможно.
  • Рядом с видеороликами YouTube есть ссылка [Invidious] для доступа к контенту через экземпляр Invidious (в данном случае yewtu.be, размещенный в Нидерландах) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
  • Рядом со ссылками в Твиттере находится ссылка [Nitter] для доступа к контенту через экземпляр Nitter (в данном случае nitter.net) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
  • Ссылки на Википедию имеют рядом с собой ссылку [Wikiless] для доступа к контенту через экземпляр Wikiless (в данном случае Wikiless.org) для повышения конфиденциальности. По возможности рекомендуется использовать эти ссылки.
  • Рядом со средними ссылками находится ссылка [Scribe.rip] для доступа к контенту через экземпляр Scribe.rip для повышения конфиденциальности. Опять же, рекомендуется использовать эти ссылки, когда это возможно.
  • Если вы читаете это в формате PDF или ODT, вы заметите множество ``` вместо двойных кавычек («»). Эти ``` предназначены для облегчения преобразования в формат Markdown/HTML для онлайн-просмотра блоков кода на веб-сайте.


Наконец, обратите внимание, что в этом руководстве упоминаются и даже рекомендуются различные коммерческие услуги (такие как VPN, CDN, провайдеры электронной почты, хостинг-провайдеры…) , но они никоим образом не поддерживаются и не спонсируются ни одним из них. Ни с одним из этих провайдеров нет реферальных ссылок и коммерческих связей.

Содержание 2.ч

 
Последнее редактирование:
Шаги для всех остальных маршрутов:

Получите выделенный ноутбук для вашей конфиденциальной деятельности:​

В идеале вы должны получить специальный ноутбук, который не будет привязан к вам каким-либо легким способом (в идеале оплата наличными анонимно и с использованием тех же мер предосторожности, которые упоминались ранее для телефона и SIM-карты). Это рекомендуется, но не обязательно, потому что это руководство поможет вам максимально защитить свой ноутбук, чтобы предотвратить утечку данных различными способами. Между вашими онлайн-личностями и вами будет стоять несколько линий защиты, которые должны помешать большинству злоумышленников деанонимизировать вас, кроме государственных/глобальных субъектов со значительными ресурсами.

В идеале этот ноутбук должен быть чистым, только что установленным ноутбуком (под управлением Windows, Linux или macOS), свободным от ваших обычных повседневных действий и автономным (еще никогда не подключенным к сети). В случае ноутбука с Windows, и если вы использовали его до такой чистой установки, его также не следует активировать (переустанавливать без ключа продукта). В частности, в случае с MacBook, он никогда не должен был быть привязан к вашей личности никоим образом. Итак, купите секонд-хенд за наличные у неизвестного незнакомца, который не знает вашей личности.

Это сделано для того, чтобы смягчить некоторые будущие проблемы в случае утечек в Интернете (включая телеметрию из вашей ОС или приложений), которые могут скомпрометировать любые уникальные идентификаторы ноутбука во время его использования (MAC-адрес, адрес Bluetooth и ключ продукта…). А также, чтобы вас не отследили, если вам нужно избавиться от ноутбука.

Если вы использовали этот ноутбук раньше для других целей (например, в повседневной деятельности), все его аппаратные идентификаторы, вероятно, известны и зарегистрированы Microsoft или Apple. Если позже какой-либо из этих идентификаторов будет скомпрометирован (вредоносным ПО, телеметрией, эксплойтами, человеческими ошибками…), они могут привести к вам.

Ноутбук должен иметь не менее 250 ГБ дискового пространства, не менее 6 ГБ (в идеале 8 ГБ или 16 ГБ) ОЗУ и должен иметь возможность запускать несколько виртуальных машин одновременно. У него должна быть рабочая батарея, которой хватает на несколько часов.

Этот ноутбук может быть оснащен жестким диском (7200 об/мин) или накопителем SSD/NVMe. Обе возможности имеют свои преимущества и проблемы, которые будут подробно описаны позже.

Все будущие онлайн-шаги, выполняемые с этим ноутбуком, в идеале должны выполняться из безопасной сети, такой как общедоступная сеть Wi-Fi, в безопасном месте
 

Некоторые рекомендации по ноутбукам:

Мы настоятельно рекомендуем приобрести ноутбук «бизнес-класса» (то есть не ноутбук потребительского/игрового уровня), если вы можете. Например, ThinkPad от Lenovo (мой личный фаворит).

Это связано с тем, что эти бизнес-ноутбуки обычно предлагают лучшие и более настраиваемые функции безопасности (особенно в настройках BIOS/UEFI) с более длительной поддержкой, чем большинство потребительских ноутбуков (Asus, MSI, Gigabyte, Acer…). Интересные особенности, на которые стоит обратить внимание:

  • Улучшенные пользовательские настройки безопасной загрузки (где вы можете выборочно управлять всеми ключами, а не только использовать стандартные)
  • Пароли HDD/SSD в дополнение к паролям BIOS/UEFI.
  • Ноутбуки AMD могут быть более интересными, поскольку некоторые из них по умолчанию позволяют отключить AMD PSP (эквивалент Intel IME от AMD) в настройках BIOS/UEFI. И поскольку, насколько мне известно, AMD PSP прошла аудит, и, в отличие от IME, не было обнаружено никаких «вредных» функций .Тем не менее, если вы собираетесь использовать Qubes OS Route, обратите внимание на процессоры Intel, поскольку Qubes OS не поддерживает AMD с их системой защиты от злых дев
  • Средства безопасного стирания в BIOS (особенно полезно для дисков SSD/NVMe, ).
  • Улучшенный контроль над отключением/включением выбранных периферийных устройств (порты USB, Wi-Fi, Bluetooth, камера, микрофон…).
  • Улучшенные функции безопасности с виртуализацией.
  • Встроенная защита от несанкционированного доступа.
  • Более длительная поддержка обновлений BIOS/UEFI (и последующих обновлений безопасности BIOS/UEFI).
  • Некоторые из них поддерживаются Libreboot.
 

Настройки BIOS/UEFI/Firmware вашего ноутбука:

ПК:​

Доступ к этим настройкам можно получить через загрузочное меню вашего ноутбука. Вот хороший учебник от HP, объясняющий все способы доступа к BIOS на разных компьютерах: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs [Архив.org]

Обычно доступ к нему осуществляется нажатием определенной клавиши (F1, F2 или Del) при загрузке (до вашей ОС).

Как только вы окажетесь там, вам нужно будет применить несколько рекомендуемых настроек:

  • Полностью отключите Bluetooth, если можете.
  • Если есть возможность, отключите биометрию (сканеры отпечатков пальцев), если она у вас есть. Однако вы можете добавить биометрическую дополнительную проверку только для загрузки (до загрузки), но не для доступа к настройкам BIOS/UEFI.
  • Отключите веб-камеру и микрофон, если можете.
  • Включите пароль BIOS/UEFI и используйте длинную парольную фразу вместо пароля (если можете) и убедитесь, что этот пароль требуется для:
    • Доступ к самим настройкам BIOS/UEFI
    • Изменение порядка загрузки
    • Запуск/включение устройства
  • Включите пароль жесткого диска/твердотельного накопителя, если эта функция доступна. Эта функция добавит еще один пароль на сам жесткий диск/твердотельный накопитель (не в прошивку BIOS/UEFI), что предотвратит использование этого жесткого диска/твердотельного накопителя на другом компьютере без пароля. Обратите внимание, что эта функция также характерна для некоторых производителей и может потребовать специального программного обеспечения для разблокировки этого диска с совершенно другого компьютера.
  • Запретите доступ к параметрам загрузки (порядку загрузки) без ввода пароля BIOS/UEFI, если это возможно.
  • Отключите USB/HDMI или любой другой порт (Ethernet, Firewire, SD-карта…), если можете.
  • Отключите Intel ME, если можете (очень высока вероятность, что вы не сможете).
  • Отключите AMD PSP, если можете (эквивалент AMD IME ) .
  • Отключите безопасную загрузку, если вы собираетесь использовать ОС Qubes, так как они не поддерживают ее из коробки. Оставьте его включенным, если вы собираетесь использовать Linux/Windows.
  • Проверьте, есть ли в BIOS вашего ноутбука опция безопасного стирания жесткого диска/твердотельного накопителя, которая может оказаться удобной в случае необходимости.
Включайте их только в случае «необходимости использования» и отключайте их снова после использования. Это может помочь смягчить некоторые атаки, если ваш ноутбук был захвачен, когда он заблокирован, но все еще включен, ИЛИ если вам пришлось выключить его довольно быстро, и кто-то завладел им (эта тема будет объяснена позже в этом руководстве).

О БЕЗОПАСНОЙ ЗАГРУЗКЕ:​

Итак, что такое безопасная загрузка ? Короче говоря, это функция безопасности UEFI, предназначенная для предотвращения загрузки вашего компьютера операционной системы, загрузчик которой не был подписан специальными ключами, хранящимися в прошивке UEFI вашего ноутбука.

Когда операционная система (или загрузчик ) поддерживает это, вы можете сохранить ключи вашего загрузчика в вашей прошивке UEFI, и это предотвратит загрузку любой неавторизованной операционной системы (такой как живая ОС USB или что-то подобное).

Настройки безопасной загрузки защищены паролем, который вы установили для доступа к настройкам BIOS/UEFI. Если у вас есть этот пароль, вы можете отключить безопасную загрузку и разрешить загрузку неподписанных ОС в вашей системе. Это может помочь смягчить некоторые атаки Evil-Maid (объясняется далее в этом руководстве).

В большинстве случаев безопасная загрузка отключена по умолчанию или включена, но в режиме «настройки», что позволяет загрузить любую систему. Чтобы безопасная загрузка работала, ваша операционная система должна поддерживать ее, а затем подписывать загрузчик и передавать эти ключи подписи в прошивку UEFI. После этого вам нужно будет перейти к настройкам BIOS / UEFI и сохранить эти нажатые клавиши из вашей ОС и изменить безопасную загрузку с режима настройки на пользовательский режим (или пользовательский режим в некоторых случаях).

После выполнения этого шага смогут загружаться только те операционные системы, из которых ваша прошивка UEFI может проверить целостность загрузчика.

У большинства ноутбуков некоторые ключи по умолчанию уже сохранены в настройках безопасной загрузки. Обычно это от самого производителя или некоторых компаний, таких как Microsoft. Таким образом, это означает, что по умолчанию всегда можно загрузить некоторые USB-диски даже при безопасной загрузке. К ним относятся Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla и многие другие. Однако на данный момент безопасная загрузка вообще не поддерживается ОС Qubes.

На некоторых ноутбуках вы можете управлять этими ключами и удалять те, которые вам не нужны, с помощью «настраиваемого режима», чтобы разрешить только ваш загрузчик, который вы можете подписать самостоятельно, если хотите.

Итак, от чего вас защищает Secure Boot? Это защитит ваш ноутбук от загрузки неподписанных загрузчиков (поставщиком ОС), например, с внедренным вредоносным ПО.

От чего вас не защищает Secure Boot ?

  • Безопасная загрузка не шифрует ваш диск, и злоумышленник все равно может просто извлечь диск из вашего ноутбука и извлечь с него данные, используя другую машину. Поэтому безопасная загрузка бесполезна без полного шифрования диска.
  • Безопасная загрузка не защищает вас от подписанного загрузчика, который был бы скомпрометирован и подписан самим производителем (например, Microsoft в случае Windows). В настоящее время большинство основных дистрибутивов Linux подписаны и будут загружаться с включенной безопасной загрузкой.
  • Безопасная загрузка может иметь недостатки и эксплойты, как и любая другая система. Если вы используете старый ноутбук, который не получает новых обновлений BIOS/UEFI, их можно не исправлять.
Кроме того, возможны несколько атак на безопасную загрузку, как подробно описано в следующих технических видеороликах:

Таким образом, это может быть полезно в качестве дополнительной меры против некоторых противников, но не против всех. Безопасная загрузка сама по себе не шифрует ваш жесткий диск. Это дополнительный слой, но это все.

Я все еще рекомендую вам сохранить его, если вы можете.

Мак:​

Найдите минутку, чтобы установить пароль прошивки в соответствии с руководством здесь: https://support.apple.com/en-au/HT204455 [Archive.org]

Вам также следует включить защиту от сброса пароля прошивки (доступна от Catalina) в соответствии с документацией здесь: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web [Archive.org]

Эта функция уменьшит возможность некоторых злоумышленников использовать аппаратные взломы для отключения/обхода пароля вашей прошивки. Обратите внимание, что это также предотвратит доступ самой Apple к прошивке в случае ремонта.
 

Физически защитите свой ноутбук от несанкционированного доступа:​

В какой-то момент вы неизбежно оставите этот ноутбук где-нибудь в покое. Вы не будете спать с ним и брать его с собой каждый божий день. Вы должны сделать так, чтобы кто-либо мог вмешиваться в него, не замечая этого. Это в основном полезно против некоторых ограниченных противников, которые не будут использовать гаечный ключ на 5 долларов против вас .

Важно знать, что для некоторых специалистов тривиально легко установить кейлоггер в ваш ноутбук, или просто сделать клонированную копию вашего жесткого диска, которая впоследствии позволит им обнаружить наличие на нем зашифрованных данных с помощью криминалистических методов. (об этом позже).

Вот хороший дешевый способ защитить ноутбук от несанкционированного доступа с помощью лака для ногтей (с блестками) https://mullvad.net/en/help/how-tamper-protect-laptop/ [Archive.org] (с картинками) .

Хотя это хороший дешевый метод, он также может вызвать подозрения, поскольку он довольно «заметен» и может просто показать, что вам «есть что скрывать». Итак, есть более тонкие способы достижения того же результата. Вы также можете, например, сделать макрофотографию крупным планом задних винтов вашего ноутбука или просто использовать небольшое количество свечного воска внутри одного из винтов, который может выглядеть как обычная грязь. Затем вы можете проверить наличие фальсификации, сравнив фотографии винтов с новыми. Их ориентация могла бы немного измениться, если бы ваш противник не был достаточно осторожен (затянув их точно так же, как они были раньше). Или воск в нижней части головки винта мог быть поврежден по сравнению с предыдущим
1661613635817.png
1661613677567.png
Те же методы можно использовать с USB-портами, где вы можете просто положить небольшое количество свечного воска в штекер, который будет поврежден при вставке в него USB-ключа.

В более рискованных средах проверяйте свой ноутбук на наличие несанкционированного доступа перед его регулярным использованием.
 

Маршрут Whonix:

Выбор хост-ОС (ОС, установленная на вашем ноутбуке):

Этот маршрут будет широко использовать виртуальные машины , им потребуется хост-ОС для запуска программного обеспечения виртуализации. В этой части руководства у вас есть три рекомендуемых варианта:

  • Ваш предпочтительный дистрибутив Linux (за исключением ОС Qubes)
  • Windows 10/11 (предпочтительно Домашняя версия из-за отсутствия Bitlocker)
  • macOS (Catalina или выше до Monterey)
Кроме того, высока вероятность того, что ваш Mac привязан или был привязан к учетной записи Apple (во время покупки или после входа в систему), и поэтому его уникальные аппаратные идентификаторы могут привести к вам в случае утечки аппаратных идентификаторов.

Linux также не обязательно лучший выбор для анонимности в зависимости от вашей модели угроз. Это связано с тем, что использование Windows позволит нам легко использовать правдоподобное отрицание (также известное как отрицаемое шифрование ) на уровне ОС. Windows также, к сожалению, в то же время является кошмаром конфиденциальности , но это единственная простая в настройке опция для использования правдоподобного отрицания в масштабах всей ОС. Телеметрия Windows и блокировка телеметрии также широко задокументированы, что должно решить многие проблемы.

Итак, что такое правдоподобное отрицание? Вы можете сотрудничать с противником, запрашивающим доступ к вашему устройству/данным, не раскрывая свой истинный секрет. Все это с использованием Deniable Encryption .

Мягкий законный злоумышленник может запросить зашифрованный пароль вашего ноутбука. Поначалу можно было отказаться от выдачи любого пароля (используя свое «право хранить молчание», «право не свидетельствовать против себя»), но некоторые страны применяют законы чтобы освободить это от таких прав (поскольку террористы и «мыслящие детей»). В этом случае вам, возможно, придется раскрыть пароль или вам грозит тюремное заключение за неуважение к суду. Вот где правдоподобное отрицание вступит в игру.

Затем вы можете раскрыть пароль, но этот пароль даст доступ только к «правдоподобным данным» (ложной ОС). Криминалистам будет хорошо известно, что у вас могут быть скрытые данные, но они не смогут это доказать (если вы все сделаете правильно) . Вы будете сотрудничать, и у следователей будет доступ к чему-то, но не к тому, что вы на самом деле хотите скрыть. Поскольку бремя доказывания должно лежать на их стороне, у них не будет другого выбора, кроме как поверить вам, если у них нет доказательств того, что вы скрываете данные.

Эту функцию можно использовать на уровне ОС (правдоподобная ОС и скрытая ОС) или на уровне файлов, где у вас будет зашифрованный файловый контейнер (аналогичный zip-файлу), где будут отображаться разные файлы в зависимости от пароля шифрования, который вы использовать.

Это также означает, что вы можете настроить свою собственную расширенную настройку «правдоподобного отрицания», используя любую ОС хоста, сохранив, например, виртуальные машины в контейнере скрытого тома Veracrypt (будьте осторожны со следами в ОС хоста, которые необходимо будет очистить, если хост ОС является постоянной. В Tails есть проект для достижения этого ( https://github.com/aforensics/HiddenVM [Archive.org] ), который сделает вашу хост-ОС непостоянной и будет использовать правдоподобное отрицание в Tails.

В случае с Windows правдоподобное отрицание также является причиной, по которой в идеале у вас должна быть Windows 10/11 Home (а не Pro). Это связано с тем, что Windows 10/11 Pro изначально предлагает систему шифрования всего диска (Bitlocker ), тогда как Windows 10/11 Home вообще не предлагает полного шифрования диска. Позже вы будете использовать стороннее программное обеспечение с открытым исходным кодом для шифрования, которое позволит выполнять шифрование всего диска в Windows 10/11 Home. Это даст вам хорошее (правдоподобное) оправдание для использования этого программного обеспечения. Использование этого программного обеспечения в Windows 10/11 Pro было бы подозрительным.

Примечание о Linux: А как насчет Linux и правдоподобного отрицания? Да, в Linux тоже можно добиться правдоподобного отрицания. Более подробную информацию вы найдете в разделе «Хост-ОС Linux» позже.

К сожалению, шифрование — это не волшебство, и оно сопряжено с некоторыми рисками:

Угрозы с шифрованием:​

КЛЮЧ НА 5 ДОЛЛАРОВ:

Помните, что шифрование с правдоподобным отрицанием или без него не является панацеей и мало поможет в случае пыток. На самом деле, в зависимости от того, кто будет вашим противником (ваша модель угрозы), может быть разумно вообще не использовать Veracrypt (ранее TrueCrypt), как показано в этой демонстрации: https://defuse.ca/truecrypt-plausible . -deniability-useless-by-game-theory.htm [Archive.org]

Правдоподобное отрицание эффективно только против мягких законных противников, которые не будут прибегать к физическим средствам. Избегайте, если это возможно, использования правдоподобного программного обеспечения с возможностью отрицания (например, Veracrypt), если ваша модель угроз включает в себя жестких противников. Таким образом, пользователям Windows в этом случае следует установить Windows Pro в качестве хост-ОС и вместо этого использовать Bitlocker.

См. https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis [Wikiless] [Archive.org]

АТАКА ЗЛОЙ ДЕВЫ:​

Злая горничная атакует проводятся, когда кто-то вмешивается в ваш ноутбук, пока вас нет. Чтобы установить клонирование жесткого диска, установите вредоносное ПО или кейлоггер. Если они могут клонировать ваш жесткий диск, они могут сравнить один образ вашего жесткого диска в то время, когда они его забрали, когда вы отсутствовали с жестким диском, когда они у вас его изъяли. Если вы снова воспользуетесь ноутбуком в промежутке между ними, судебно-медицинские эксперты смогут доказать существование скрытых данных, посмотрев на различия между двумя изображениями в том месте, которое должно быть пустым/неиспользуемым пространством. Это может привести к убедительным доказательствам существования скрытых данных. Если они установят кейлоггер или вредоносное ПО на ваш ноутбук (программное или аппаратное), они смогут просто получить от вас пароль для последующего использования, когда они его захватят. Такие атаки могут быть совершены у вас дома, в отеле, на пограничном переходе,

Вы можете смягчить эту атаку, выполнив следующие действия (как было рекомендовано ранее):

  • Имейте базовую защиту от несанкционированного доступа (как объяснялось ранее), чтобы предотвратить физический доступ к внутренним частям ноутбука без вашего ведома. Это предотвратит клонирование ваших дисков и установку физического кейлоггера без вашего ведома.
  • Отключите все порты USB (как объяснялось ранее) в защищенном паролем BIOS/UEFI. Опять же, они не смогут включить их (без физического доступа к материнской плате для сброса BIOS) для загрузки USB-устройства, которое может клонировать ваш жесткий диск, или установить программное вредоносное ПО, которое может действовать как кейлоггер.
  • несанкционированного доступа (как объяснялось ранее), чтобы предотвратить физический доступ к внутренним частям ноутбука без вашего ведома. Это предотвратит клонирование ваших дисков и установку физического кейлоггера без вашего ведома.
  • Отключите все порты USB (как объяснялось ранее) в защищенном паролем BIOS/UEFI. Опять же, они не смогут включить их (без физического доступа к материнской плате для сброса BIOS) для загрузки USB-устройства, которое может клонировать ваш жесткий диск, или установить программное вредоносное ПО, которое может действовать как кейлоггер.
  • Установите пароли BIOS/UEFI/прошивки, чтобы предотвратить несанкционированную загрузку неавторизованного устройства.
  • Некоторые ОС и программное обеспечение для шифрования имеют защиту Anti Evil Maid (AEM) , которую можно включить. Это относится к Windows/Veracrypt и QubeOS (только на процессорах Intel).
  • ХОЛОДНАЯ АТАКА:

Атаки с холодной загрузкой сложнее, чем атака Evil Maid, но могут быть частью атаки Evil Maid, поскольку для этого требуется, чтобы злоумышленник завладел вашим ноутбуком, когда вы активно используете свое устройство или вскоре после этого.

Идея довольно проста, как показано в этом видео , злоумышленник теоретически может быстро загрузить ваше устройство на специальный USB-ключ, который скопирует содержимое ОЗУ (памяти) устройства после его выключения. Если порты USB отключены или им кажется, что им нужно больше времени, они могут открыть его и «охладить» память с помощью спрея или других химических веществ (например, жидкого азота), предотвращающих разрушение памяти. Затем они смогут скопировать его содержимое для анализа. Этот дамп памяти может содержать ключ для расшифровки вашего устройства. Позже вы примените несколько принципов, чтобы смягчить их.

В случае правдоподобного отрицания было проведено несколько криминалистических исследований о техническом доказательстве наличия скрытых данных с помощью простой судебно-медицинской экспертизы (без холодной загрузки/атаки злой горничной), но они были оспорены другими исследованиями и сопровождающий Veracrypt поэтому мы пока не будем слишком беспокоиться об этом.

Те же меры, которые используются для смягчения атак Evil Maid, должны применяться и для атак с холодной загрузкой, но с некоторыми дополнительными мерами:

  • Если ваша операционная система или программное обеспечение для шифрования позволяет это, вам также следует зашифровать ключи в оперативной памяти (это возможно с Windows/Veracrypt и будет объяснено позже). Снова см. https://sourceforge.net/p/veracrypt/discussion/technical/thread/3961542951/ [Archive.org]
  • Включите параметр «Стереть ключи из памяти», если устройство вставлено в Veracrypt.
  • Вам следует ограничить использование спящего режима и вместо этого использовать выключение или гибернацию, чтобы ключи шифрования не оставались в ОЗУ, когда компьютер переходит в спящий режим. Это связано с тем, что сон сохраняет энергию в вашей памяти для более быстрого возобновления вашей деятельности. Только гибернация и выключение действительно очистят ключ из памяти
  • См. также https://www.whonix.org/wiki/Cold_Boot_Attack_Defense [Archive.org] и https://www.whonix.org/wiki/Protection_Against_Physical_Attacks [Archive.org]


Вот также несколько интересных инструментов, которые пользователи Linux могут использовать для защиты от них:


О СНЕ, ГИБЕРНАЦИИ И ЗАВЕРШЕНИИ РАБОТЫ:​

Если вы хотите повысить безопасность, вам следует полностью выключать ноутбук каждый раз, когда вы оставляете его без присмотра или закрываете крышку. Это должно очистить и/или освободить оперативную память и обеспечить защиту от атак с холодной загрузкой. Однако это может быть немного неудобно, так как вам придется полностью перезагружаться и вводить кучу паролей в различные приложения. Перезапустите различные виртуальные машины и другие приложения. Поэтому вместо этого вы также можете использовать спящий режим (не поддерживается в ОС Qubes). Поскольку весь диск зашифрован, гибернация сама по себе не должна представлять большой угрозы безопасности, но все же выключит ваш ноутбук и очистит память, а затем позволит вам удобно возобновить работу.Чего вы никогда не должны делать, так это использовать стандартную функцию сна, которая будет держать ваш компьютер включенным, а память включенной. Это вектор атаки против атак злой горничной и холодной загрузки, о которых говорилось ранее. Это связано с тем, что ваша включенная память содержит ключи шифрования для вашего диска (зашифрованные или нет), и затем к ней может получить доступ опытный злоумышленник.

В этом руководстве позже будут даны рекомендации о том, как включить режим гибернации в различных хост-ОС (кроме ОС Qubes), если вы не хотите каждый раз выключаться.

ЛОКАЛЬНЫЕ УТЕЧКИ ДАННЫХ (СЛЕДЫ) И СУДЕБНАЯ ЭКСПЕРТИЗА:​

Как кратко упоминалось ранее, это утечки данных и следы из вашей операционной системы и приложений, когда вы выполняете какие-либо действия на своем компьютере. Они в основном применяются к зашифрованным файловым контейнерам (с правдоподобным отрицанием или без него), чем к шифрованию всей ОС. Такие утечки менее «важны», если вся ваша ОС зашифрована (если вы не обязаны раскрывать пароль).

Предположим, например, что у вас есть зашифрованный USB-ключ Veracrypt с включенным правдоподобным отрицанием. В зависимости от пароля, который вы используете при подключении USB-ключа, он откроет папку-приманку или конфиденциальную папку. В этих папках у вас будут фиктивные документы/данные в папке-приманке и конфиденциальные документы/данные в конфиденциальной папке.

Во всех случаях вы (скорее всего) откроете эти папки с помощью проводника Windows, macOS Finder или любой другой утилиты и сделаете то, что планировали. Возможно, вы отредактируете документ в конфиденциальной папке. Возможно, вы будете искать документ в папке. Возможно, вы удалите его или посмотрите конфиденциальное видео с помощью VLC.

Ну, все эти приложения и ваша операционная система могут хранить журналы и следы этого использования. Это может включать полный путь к папке/файлам/дискам, время доступа к ним, временные кэши этих файлов, «последние» списки в каждом приложении, систему индексации файлов, которая может индексировать диск, и даже эскизы, которые могут быть сгенерирован

Вот несколько примеров таких утечек:

Windows​

  • Windows ShellBags, которые хранятся в реестре Windows, автоматически сохраняя различные истории доступа к томам/файлам/папкам.
  • Индексация Windows сохраняет следы файлов, присутствующих в вашей пользовательской папке по умолчанию .
  • Недавние списки (иначе списки переходов) в Windows и различных приложениях, сохраняющих следы документов, к которым недавно обращались .
  • Еще много следов в различных журналах, пожалуйста, посмотрите этот удобный интересный постер для получения дополнительной информации: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download [Archive.org]

МАКОС:​

  • Gatekeeper и XProtect отслеживают историю загрузок в локальной базе данных и атрибуты файлов.
  • Индексирование в центре внимания
  • Недавние списки в различных приложениях, сохраняющие следы документов, к которым недавно обращались.
  • Временные папки, в которых хранятся различные следы использования приложений и документов.
  • Журналы macOS

ЛИНУКС:​

  • Индексация трекера
  • Баш История
  • USB-журналы
  • Недавние списки в различных приложениях, сохраняющие следы документов, к которым недавно обращались.
  • Журналы Linux
Криминалисты могли бы
использовать все эти утечки ,чтобы доказать существование скрытых данных и отразить ваши попытки использовать правдоподобное отрицание, а также узнать о ваших различных конфиденциальных действиях.

Поэтому будет важно применить различные шаги, чтобы предотвратить это от судебной экспертизы, предотвращая и очищая эти утечки / следы и, что более важно, используя шифрование всего диска, виртуализацию и разделение.

Криминалисты не могут извлечь локальные утечки данных из ОС, к которой у них нет доступа. И вы сможете очистить большинство этих следов, очистив диск или безопасно удалив виртуальные машины (что не так просто, как вы думаете, на SSD-накопителях).

Тем не менее, некоторые методы очистки будут описаны в разделе «Заметайте следы» этого руководства в самом конце.

УТЕЧКИ ДАННЫХ В ИНТЕРНЕТЕ:​

Независимо от того, используете ли вы простое шифрование или шифрование правдоподобного отрицания. Даже если вы заметали следы на самом компьютере. По-прежнему существует риск утечки данных в Интернете, которая может выявить наличие скрытых данных.

Телеметрия — ваш враг . Как объяснялось ранее в этом руководстве, телеметрия операционных систем, а также приложений может отправлять ошеломляющие объемы личной информации в Интернете.

В случае с Windows эти данные можно было бы, например, использовать для доказательства существования скрытой ОС/тома на компьютере, и они были бы легко доступны в Microsoft. Поэтому крайне важно отключить и заблокировать телеметрию всеми имеющимися в вашем распоряжении средствами. Независимо от того, какую ОС вы используете.

Вывод:​

Вы никогда не должны выполнять конфиденциальные действия из незашифрованной системы. И даже если он зашифрован, вы никогда не должны выполнять конфиденциальные действия из самой ОС хоста. Вместо этого вы должны использовать виртуальную машину, чтобы иметь возможность эффективно изолировать и разделить свои действия и предотвратить локальные утечки данных.

Если у вас практически нет знаний о Linux или вы хотите использовать правдоподобное отрицание для всей ОС, мы рекомендуем для удобства перейти на Windows (или вернуться к маршруту Tails). Это руководство поможет вам максимально укрепить его, чтобы предотвратить утечки. Это руководство также поможет вам максимально защитить macOS и Linux, чтобы предотвратить подобные утечки.

Если вас не интересует правдоподобное отрицание для всей ОС и вы хотите научиться использовать Linux, мы настоятельно рекомендуем перейти на Linux или маршрут ОС Qubes, если ваше оборудование позволяет это.

Во всех случаях операционная система хоста никогда не должна использоваться для непосредственного выполнения конфиденциальных действий. ОС хоста будет использоваться только для подключения к общедоступной точке доступа Wi-Fi. Он останется неиспользованным, пока вы выполняете деликатные действия, и в идеале не должен использоваться ни для какой из ваших повседневных действий.
 

Хост-ОС Linux:​

Как упоминалось ранее, мы не рекомендуем использовать ваш ежедневный ноутбук для важных дел. Или, по крайней мере, мы не рекомендуем использовать для них вашу встроенную ОС. Это может привести к нежелательным утечкам данных, которые могут быть использованы для вашей деанонимизации. Если у вас есть специальный ноутбук для этого, вам следует переустановить свежую чистую ОС. Если вы не хотите стирать свой ноутбук и начинать заново, вам следует рассмотреть маршрут Tails или действовать на свой страх и риск.

Я также рекомендую выполнить первоначальную установку полностью в автономном режиме, чтобы избежать утечки данных.

Вы всегда должны помнить, что, несмотря на репутацию, основные дистрибутивы Linux (например, Ubuntu) не обязательно лучше защищены, чем другие системы, такие как macOS и Windows. См. эту ссылку, чтобы понять, почему https://madaidans-insecurities.github.io/linux.html [Archive.org] .

Полное шифрование диска:​

Здесь есть два пути с дистрибутивами на основе Ubuntu или Debian:

  • Использование ЛУКС:
    • Без правдоподобного отрицания:
Для других дистрибутивов вам придется документировать себя, но, скорее всего, это будет похоже. Шифрование во время установки намного проще в контексте этого руководства.

Примечание о правдоподобном отрицании в Linux:

Есть несколько способов добиться правдоподобного отрицания в Linux , и это возможно. Вот некоторые дополнительные сведения о некоторых способах, которые мы рекомендуем. Все эти варианты требуют более высокого уровня навыков использования Linux.


ПУТЬ ОТДЕЛЬНЫХ ЗАГОЛОВКОВ:

Хотя это руководство еще не поддерживается, в Linux можно добиться некой формы отрицания с помощью LUKS, используя отдельные заголовки LUKS. А пока мы перенаправим вас на эту страницу для получения дополнительной информации: https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encrypted_system_using_a_detached_LUKS_header [Archive.org]

ПУТЬ VERACRYPT:​

Технически возможно не только использовать Veracrypt, но и добиться правдоподобного отрицания в хост-ОС Linux, используя Veracrypt для шифрования всего диска системы (вместо LUKS). Это не поддерживается Veracrypt (системное шифрование поддерживается только в Windows) и требует некоторой работы с различными командами. Это не рекомендуется для неподготовленных пользователей и должно использоваться только на свой страх и риск.

Шаги для достижения этого еще не интегрированы в это руководство, но их можно найти здесь: http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/post/5779e55aae7fc06e4758 (это адрес .onion, для него требуется браузер Tor).

Отклонить/отключить любую телеметрию:​

  • Во время установки просто убедитесь, что вы не разрешаете сбор данных, если будет предложено.
  • Если вы не уверены, просто убедитесь, что вы не включили телеметрию, и при необходимости следуйте этому руководству https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your. -pc/ [Архив.org]
  • Любой другой дистрибутив: вам нужно будет задокументировать себя и выяснить, как отключить телеметрию, если она есть.

Отключите все ненужное:​

  • Отключите Bluetooth, если он включен, следуя этому руководству https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ [Archive.org] или введя следующую команду:
    • sudo systemctl disable bluetooth.service --force
  • Отключите индексирование, если оно включено по умолчанию (Ubuntu > 19.04), следуя этому руководству https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html [Archive.org] или введя следующие команды. :
    • sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
      • Вы можете спокойно игнорировать любую ошибку, если она говорит, что какая-то служба не существует.
    • sudo tracker reset -hard

СПЯЩИЙ РЕЖИМ:​

Как объяснялось ранее, вы не должны использовать функции сна, а выключать или переводить ноутбук в спящий режим, чтобы смягчить некоторые атаки злой горничной и холодную загрузку. К сожалению, эта функция по умолчанию отключена во многих дистрибутивах Linux, включая Ubuntu. Его можно включить, но он может работать не так, как ожидалось. Следуйте этой информации на свой страх и риск. Если вы не хотите этого делать, вам никогда не следует вместо этого использовать функцию сна и отключения питания (и установить режим закрытия крышки на отключение питания вместо сна).

Следуйте одному из этих руководств, чтобы включить Hibernate:

После включения спящего режима измените поведение, чтобы ваш ноутбук переходил в спящий режим, когда вы закроете крышку, следуя этому руководству для Ubuntu 20.04 http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu- 20-04/ [Archive.org] и это руководство для Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ [Archive.org] . Для Ubuntu 21.04 или 21.10 пока нет руководства, но приведенное выше для 20.04, вероятно, тоже должно работать.

К сожалению, это не очистит ключ из памяти напрямую при гибернации. Чтобы избежать этого за счет некоторой производительности, вы можете зашифровать файл подкачки, следуя этому руководству: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap [Archive.org]

Эти настройки должны смягчить атаки холодной загрузки, если вы можете достаточно быстро переходить в спящий режим.

Включить рандомизацию MAC-адресов:​

Усиление Linux:​

В качестве легкого введения для новых пользователей Linux рассмотрите https://www.youtube.com/watch?v=Sa0KqbpLye4 [Invidious]

Для более подробных и расширенных параметров см.:

 

Хост-ОС macOS:​

Примечание. В настоящее время это руководство не поддерживает MacBook ARM M1 (пока). Из-за того, что Virtualbox еще не поддерживает эту архитектуру. Однако это возможно, если вы используете коммерческие инструменты, такие как VMWare или Parallels, но они не рассматриваются в этом руководстве.

Как упоминалось ранее, мы не рекомендуем использовать ваш ежедневный ноутбук для важных дел. Или, по крайней мере, мы не рекомендуем использовать для них установленную на месте ОС. Это может привести к нежелательным утечкам данных, которые могут быть использованы для вашей деанонимизации. Если у вас есть специальный ноутбук для этого, вам следует переустановить свежую чистую ОС. Если вы не хотите стирать свой ноутбук и начинать заново, вам следует рассмотреть маршрут Tails или действовать на свой страх и риск.

Я также рекомендую выполнить первоначальную установку полностью в автономном режиме, чтобы избежать утечки данных.

Никогда не входите в свою учетную запись Apple, используя этот Mac.

Во время установки:​

  • Оставайтесь в сети
  • Отключить все запросы на обмен данными при появлении запроса, включая службы определения местоположения
  • Не входить в систему с помощью Apple
  • Не включайте Сири

Укрепление macOS:​

В качестве легкого введения для новых пользователей macOS рассмотрите https://www.youtube.com/watch?v=lFx5icuE6Io [Invidious]

Теперь, чтобы более подробно изучить защиту и укрепление вашей macOS, мы рекомендуем прочитать это руководство, в котором рассматриваются многие вопросы: https://www.bejarano.io/hardening-macos/ [Archive.org]

Вот основные шаги, которые вы должны предпринять после автономной установки:

ВКЛЮЧИТЕ ПАРОЛЬ ПРОШИВКИ С ОПЦИЕЙ «DISABLE-RESET-CAPABILITY»:​

Во-первых, вы должны установить пароль прошивки, следуя этому руководству от Apple: https://support.apple.com/en-us/HT204455 [Archive.org]

К сожалению, некоторые атаки все еще возможны, и злоумышленник может отключить этот пароль, поэтому вам также следует следовать этому руководству, чтобы предотвратить отключение пароля прошивки от кого-либо, включая Apple: https://support.apple.com/en-gb/guide/security/ sec28382c9ca/web [Архив.org]

ВКЛЮЧИТЬ ГИБЕРНАЦИЮ ВМЕСТО СНА:​

Опять же, это делается для предотвращения некоторых атак с холодной загрузкой и злобных дев, отключая вашу оперативную память и очищая ключ шифрования, когда вы закрываете крышку. Вы всегда должны либо переходить в спящий режим, либо выключаться. В macOS функция гибернации даже имеет специальную опцию для удаления ключа шифрования из памяти при переходе в спящий режим (в то время как в других операционных системах вам, возможно, придется подождать, пока память не исчезнет). Опять же, в настройках нет простых вариантов сделать это, поэтому вместо этого нам придется сделать это, выполнив несколько команд, чтобы включить спящий режим:

  • Откройте терминал
  • Бежать:sudo pmset -a destroyfvkeyonstandby 1
    • Эта команда укажет macOS уничтожить ключ Filevault в режиме ожидания (спящий режим).
  • Бежать:sudo pmset -a hibernatemode 25
    • Эта команда предписывает macOS отключать память во время сна вместо перехода в гибридный режим гибернации, при котором память остается включенной. Это приведет к более медленному пробуждению, но увеличит срок службы батареи.
Теперь, когда вы закрываете крышку своего MacBook, он должен переходить в спящий режим, а не спать, и предотвращать попытки выполнения атак с холодной загрузкой.

Кроме того, вам также следует настроить автоматический спящий режим («Настройки»> «Энергия»), чтобы ваш MacBook автоматически переходил в спящий режим, если его оставить без присмотра.

ОТКЛЮЧИТЕ НЕНУЖНЫЕ СЛУЖБЫ:​

Отключите некоторые ненужные настройки в настройках:

  • Отключить Bluetooth
  • Отключить камеру и микрофон
  • Отключить службы определения местоположения
  • Отключить аирдроп
  • Отключить индексирование

ПРЕДОТВРАЩЕНИЕ ВЫЗОВОВ APPLE OCSP:​

Это печально известные вызовы «неблокируемой телеметрии» из macOS Big Sur, раскрытые здесь: https://sneak.berlin/20201112/your-computer-isnt-yours/ [Archive.org]

Вы можете заблокировать отчеты OCSP, выполнив следующую команду в Терминале:

  • sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'
Но вы должны задокументировать фактическую проблему, прежде чем действовать. Эта страница является хорошим местом для начала: https://blog.jacopo.io/en/post/apple-ocsp/ [Archive.org]

До вас действительно. Мы бы заблокировали его, потому что нам вообще не нужна телеметрия от моей ОС к материнскому кораблю без моего специального согласия. Никто.

ВКЛЮЧИТЬ ПОЛНОЕ ШИФРОВАНИЕ ДИСКА (FILEVAULT):​

Вы должны включить полное шифрование диска на своем Mac с помощью Filevault в соответствии с этой частью руководства: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption [Archive.org]

Будьте осторожны при включении. Не храните ключ восстановления в Apple, если будет предложено (это не должно быть проблемой, поскольку на этом этапе вы должны быть в автономном режиме). Вы не хотите, чтобы у третьих лиц был ваш ключ восстановления.

РАНДОМИЗАЦИЯ MAC-АДРЕСОВ:​

К сожалению, macOS не предлагает собственного удобного способа рандомизации вашего MAC-адреса, поэтому вам придется делать это вручную. Это будет сбрасываться при каждой перезагрузке, и вам придется каждый раз делать это заново, чтобы убедиться, что вы не используете свой фактический MAC-адрес при подключении к различным Wi-Fi.

Вы можете сделать это, выполнив следующие команды в терминале (без круглых скобок):

  • (Выключите Wi-Fi)networksetup -setairportpower en0 off
  • (Изменить MAC-адрес)sudo ifconfig en0 ether 88:63:11:11:11:11
  • (Включите Wi-Fi снова)networksetup -setairportpower en0 on
 

Хост-ОС Windows:​

Как упоминалось ранее, мы не рекомендуем использовать ваш ежедневный ноутбук для важных дел. Или, по крайней мере, мы не рекомендуем использовать для них установленную на месте ОС. Это может привести к нежелательным утечкам данных, которые могут быть использованы для вашей деанонимизации. Если у вас есть специальный ноутбук для этого, вам следует переустановить свежую чистую ОС. Если вы не хотите стирать свой ноутбук и начинать заново, вам следует рассмотреть маршрут Tails или действовать на свой страх и риск.

Я также рекомендую выполнить первоначальную установку полностью в автономном режиме, чтобы избежать утечки данных.


В качестве легкого введения рассмотрите просмотр https://www.youtube.com/watch?v=vNRics7tlqw [Invidious]

Включить рандомизацию MAC-адресов:​

Вы должны рандомизировать свой MAC-адрес, как описано ранее в этом руководстве:

Перейдите в «Настройки»> «Сеть и Интернет»> «Wi-Fi»> «Включить случайные аппаратные адреса».

В качестве альтернативы вы можете использовать это бесплатное программное обеспечение: https://technitium.com/tmac/ [Archive.org]

использовать это бесплатное программное обеспечение: https://technitium.com/tmac/ [Archive.org]

ШИФРОВАНИЕ ХОСТ-ОС WINDOWS:​

ЕСЛИ ВЫ НАМЕРЕНЫ ИСПОЛЬЗОВАТЬ ОБЩЕСИСТЕМНОЕ ПРАВДОПОДОБНОЕ ОТРИЦАНИЕ:​

Veracrypt — это программное обеспечение, которое мы рекомендуем для полного шифрования диска, шифрования файлов и правдоподобного отрицания. Это форк известного, но устаревшего и неподдерживаемого TrueCrypt. Его можно использовать для:

  • Простое шифрование Full Disk (ваш жесткий диск зашифрован одной парольной фразой).
  • Полное шифрование диска с правдоподобным отрицанием (это означает, что в зависимости от парольной фразы, введенной при загрузке, вы загрузите либо обманную ОС, либо скрытую ОС).
  • Простое шифрование файлового контейнера (это большой файл, который вы сможете смонтировать в Veracrypt, как если бы это был внешний диск для хранения зашифрованных файлов).
  • Файловый контейнер с правдоподобным отрицанием (это тот же самый большой файл, но в зависимости от фразы-пароля, которую вы используете при его монтировании, вы будете монтировать либо «скрытый том», либо «том-приманку»).
Насколько мне известно, это единственное (удобное и доступное для всех) бесплатное программное обеспечение для шифрования с открытым исходным кодом и открытой аудиторской проверкой , которое также обеспечивает правдоподобное отрицание для широкого использования и работает с Windows Home Edition.

Загрузите и установите Veracrypt с: https://www.veracrypt.fr/en/Downloads.html [Archive.org]

После установки, пожалуйста, найдите время, чтобы просмотреть следующие параметры, которые помогут смягчить некоторые атаки:

  • Зашифруйте память с помощью параметра Veracrypt (настройки > параметры производительности/драйвера > зашифровать ОЗУ) по цене 5-15% производительности. Этот параметр также отключает режим гибернации (который не очищает активно ключ при переходе в режим гибернации) и вместо этого полностью шифрует память, чтобы смягчить некоторые атаки с холодной загрузкой. Подробнее об этой функции здесь: https://sourceforge.net/p/veracrypt/discussion/technical/thread/3961542951/ [Archive.org]
  • Включите параметр Veracrypt, чтобы стереть ключи из памяти, если вставлено новое устройство (система > настройки > безопасность > удалить ключи из памяти, если вставлено новое устройство). Это может помочь в случае, если ваша система захвачена во время работы (но заблокирована).
  • Включите параметр Veracrypt, чтобы монтировать тома как съемные тома (Настройки > Настройки > Подключить том как съемный носитель). Это предотвратит запись Windows некоторых журналов о ваших подключениях в журналы событий и предотвратит некоторые локальные утечки данных.
  • Будьте осторожны и хорошо ориентируйтесь в ситуации, если почувствуете что-то странное. Выключите ноутбук как можно быстрее.
Если вы не хотите использовать зашифрованную память (поскольку производительность может быть проблемой), вы должны по крайней мере включить гибернацию вместо сна. Это не удалит ключи из памяти (вы по-прежнему уязвимы для атак с холодной загрузкой), но, по крайней мере, должно смягчить их, если у вашей памяти достаточно времени для распада.


ЕСЛИ ВЫ НЕ СОБИРАЕТЕСЬ ИСПОЛЬЗОВАТЬ ОБЩЕСИСТЕМНОЕ ПРАВДОПОДОБНОЕ ОТРИЦАНИЕ:​

В этом случае мы рекомендуем использовать BitLocker вместо Veracrypt для полного шифрования диска. Причина в том, что BitLocker не предлагает правдоподобной возможности отрицания, в отличие от Veracrypt. Тогда у жесткого противника не будет стимула продолжать свой «расширенный» допрос, если вы раскроете кодовую фразу.

Обычно в этом случае вы должны были установить Windows Pro, и установка BitLocker довольно проста.

В принципе, вы можете следовать инструкциям здесь: https://support.microsoft.com/en-us/windows/turn-on-device-encryption-0c453637-bc88-5f74-5105-741561aae838 [Archive.org]

Но вот шаги:

  • Щелкните меню Windows
  • Введите «Битлокер»
  • Нажмите «Управление Bitlocker».
  • Нажмите «Включить Bitlocker» на системном диске.
  • Следуй инструкциям
    • Не сохраняйте ключ восстановления в учетной записи Microsoft, если будет предложено.
    • Сохраняйте ключ восстановления только на внешний зашифрованный диск. Чтобы обойти это, распечатайте ключ восстановления с помощью принтера Microsoft Print to PDF и сохраните ключ в папке «Документы». Удалите этот файл позже.
    • Зашифровать весь диск (не шифровать только используемое дисковое пространство).
    • Используйте «Новый режим шифрования»
    • Запустите проверку BitLocker
      • Перезагрузить














    • Теперь шифрование должно запускаться в фоновом режиме (вы можете проверить это, щелкнув значок Bitlocker в нижней правой части панели задач).
К сожалению, этого недостаточно. При такой настройке ваш ключ Bitlocker можно просто хранить как есть в чипе TPM вашего компьютера. Это довольно проблематично, так как в некоторых случаях ключ можно легко извлечь

Чтобы смягчить это, вам придется включить еще несколько параметров в соответствии с рекомендациями Microsoft :
  • Щелкните значок Windows
  • Тип Выполнить
  • Введите «gpedit.msc» (это редактор групповой политики)
  • Перейдите в «Конфигурация компьютера» > «Административные шаблоны» > «Компоненты Windows» > «BitLocker» > «Диски операционной системы».
    • Дважды щелкните «Требовать дополнительную аутентификацию при запуске».
      • Нажмите «Настроить ПИН-код запуска TPM» и установите для него значение «Требовать ПИН-код запуска с TPM».
    • Дважды щелкните «Разрешить расширенные PIN-коды для запуска».
      • Нажмите «Включить» (это позволит нам установить пароль, а не PIN-код)
  • Закройте редактор групповой политики
  • Щелкните значок Windows
  • Введите Command, чтобы отобразить «Командную строку».
  • Щелкните его правой кнопкой мыши и выберите «Запуск от имени администратора».
  • Выполнить manage-bde -protectors -delete c:(это удалит текущую защиту: ключ восстановления вам не понадобится)
  • Выполнить manage-bde -protectors -add c: -TPMAndPIN(при этом вам будет предложено ввести пароль перед загрузкой)
    • Введите пароль или кодовую фразу по вашему выбору (хороший)
  • Бежатьmanage-bde -status
    • Теперь вы должны увидеть на своем диске C: ниже «Key Protectors» опцию «TPM и PIN».
  • Вы сделали
  • Теперь, когда вы перезагружаете компьютер, в идеале вам должно быть предложено:
    • Загрузочный пароль BIOS/UEFI
    • Пароль разблокировки SSD/HDD (если эта функция доступна в вашем BIOS)
    • Экран предварительной загрузки Bitlocker, где вам нужно ввести пароль / кодовую фразу, которую вы только что установили
    • И, наконец, экран входа в Windows, где вы можете ввести учетные данные, которые вы настроили ранее.

ВКЛЮЧИТЬ СПЯЩИЙ РЕЖИМ (НЕОБЯЗАТЕЛЬНО):​

Опять же, как объяснялось ранее. Вы никогда не должны использовать функцию сна/ожидания, чтобы смягчить некоторые атаки холодной загрузки и злой горничной. Вместо этого вы должны выключить компьютер или перевести его в спящий режим. Поэтому вам следует переключать ноутбук из спящего режима в режим гибернации при закрытии крышки или когда ноутбук переходит в спящий режим.

( Обратите внимание, что вы не можете включить спящий режим, если вы ранее включили шифрование ОЗУ в Veracrypt)

Причина в том, что режим гибернации фактически полностью выключит ваш ноутбук и очистит память. С другой стороны, сон оставит память включенной (включая ваш ключ дешифрования) и может сделать ваш ноутбук уязвимым для атак с холодной загрузкой.

По умолчанию Windows 10/11 может не предлагать вам эту возможность, поэтому вам следует включить ее, следуя этому руководству Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/disable-and- включить режим гибернации [Archive.org]

  • Откройте командную строку администратора (щелкните правой кнопкой мыши командную строку и выберите «Запуск от имени администратора»).
  • Выполнить: powercfg.exe /hibernate на
  • Теперь запустите дополнительную команду:**powercfg /h /type full**
    • Эта команда гарантирует, что ваш режим гибернации заполнен, и полностью очистит память (хотя и не безопасно).
После этого вы должны зайти в настройки питания:

  • Откройте панель управления
  • Открытая система и безопасность
  • Откройте параметры питания
  • Откройте «Выберите, что делает кнопка питания»
  • Измените все от сна до гибернации или выключения
  • Вернитесь к параметрам питания
  • Выберите «Изменить настройки плана».
  • Выберите «Дополнительные параметры питания».
  • Измените все значения сна для каждого плана питания на 0 (никогда)
  • Убедитесь, что Hybrid Sleep отключен для каждого плана управления питанием.
  • Включить режим гибернации через время, которое вы хотели бы
  • Отключить все таймеры пробуждения

Решив, какой подмаршрут вы выберете:​

Теперь вам нужно будет выбрать следующий шаг между двумя вариантами:

  • Маршрут A: Простое шифрование вашей текущей ОС
    • Плюсы:
      • Не требует протирания ноутбука
      • Нет проблем с локальными утечками данных
      • Отлично работает с SSD диском
      • Работает с любой ОС
      • Простой
    • Минусы:
      • Злоумышленник может заставить вас раскрыть ваш пароль и все ваши секреты, и у вас не будет правдоподобного отрицания.
      • Опасность утечки данных в Интернете
  • Маршрут B: Простое шифрование вашей текущей ОС с последующим использованием правдоподобного отрицания самих файлов:
    • Плюсы:
      • Не требует протирания ноутбука
      • Отлично работает с SSD диском
      • Работает с любой ОС
      • Правдоподобное отрицание возможно с «мягкими» противниками
    • Минусы:
      • Опасность утечки данных в Интернете
      • Опасность утечек локальных данных (что потребует дополнительной работы по устранению этих утечек)
  • Маршрут C: Правдоподобное шифрование вашей операционной системы (на вашем ноутбуке будут работать «скрытая ОС» и «ложная ОС»):
    • Плюсы:
      • Нет проблем с локальными утечками данных
      • Правдоподобное отрицание возможно с «мягкими» противниками
    • Минусы:
      • Требуется Windows (эта функция «нелегко» поддерживается в Linux).
      • Опасность утечки данных в Интернете
      • Требуется полная очистка вашего ноутбука
      • Не использовать с SSD-накопителем из-за необходимости отключения Trim Operations. Это серьезно ухудшит производительность/состояние вашего SSD-накопителя с течением времени.
Как видите, Route C предлагает только два преимущества конфиденциальности по сравнению с другими, и он будет полезен только против мягкого законного противника. Помните https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis[Wikiless] [Archive.org] .

Решать, какой маршрут вы выберете, зависит от вас. Маршрут А - это минимум.

Всегда проверяйте наличие новых версий Veracrypt, чтобы убедиться, что вы пользуетесь последними исправлениями. Особенно проверьте это перед применением больших обновлений Windows, которые могут сломать загрузчик Veracrypt и привести к циклу загрузки.

ОБРАТИТЕ ВНИМАНИЕ, ЧТО ПО УМОЛЧАНИЮ VERACRYPT ВСЕГДА ПРЕДЛАГАЕТ СИСТЕМНЫЙ ПАРОЛЬ В QWERTY (отображать пароль для проверки). Это может вызвать проблемы, если при загрузке используется клавиатура вашего ноутбука (например, AZERTY), так как вы установили свой пароль в QWERTY и будете вводить его во время загрузки в AZERTY. Итак, убедитесь, что вы проверяете при тестовой загрузке, какую раскладку клавиатуры использует ваш BIOS. Вы могли не войти в систему только из-за путаницы QWERTY/AZERTY. Если ваш BIOS загружается с использованием AZERTY, вам нужно будет ввести пароль в QWERTY в Veracrypt.


МАРШРУТ A И B: ПРОСТОЕ ШИФРОВАНИЕ С ИСПОЛЬЗОВАНИЕМ VERACRYPT (УЧЕБНИК ДЛЯ WINDOWS)​

Пропустите этот шаг, если ранее вы использовали BitLocker.

Вам не обязательно иметь жесткий диск для этого метода, и вам не нужно отключать Trim на этом маршруте. Утечки Trim будут полезны только для криминалистики при обнаружении присутствия скрытого тома, но в остальном они бесполезны.

Этот маршрут довольно прост и просто зашифрует вашу текущую операционную систему без потери данных. Обязательно прочитайте все тексты, которые Veracrypt показывает вам, чтобы иметь полное представление о том, что происходит. Вот шаги:

  • Запустить VeraCrypt
  • Зайдите в настройки:
    • Настройки > Производительность/параметры драйвера > Шифровать ОЗУ
    • Система > Настройки > Безопасность > Очистить ключи из памяти, если вставлено новое устройство
    • Система > Настройки > Windows > Включить безопасный рабочий стол
  • Выберите систему
  • Выберите «Зашифровать системный раздел/диск».
  • Выберите Обычный (Простой)
  • Выберите одиночную загрузку
  • Выберите AES в качестве алгоритма шифрования (нажмите кнопку проверки, если хотите сравнить скорости)
  • Выберите SHA-512 в качестве алгоритма хеширования (почему бы и нет)
  • Введите надежную парольную фразу (чем длиннее, тем лучше) .
  • Соберите немного энтропии, случайным образом перемещая курсор, пока полоса не заполнится.
  • Нажмите «Далее» на экране «Сгенерированные ключи».
  • Спасать диск или нет, решать вам. Мы рекомендуем сделать один (на всякий случай), просто убедитесь, что он хранится вне вашего зашифрованного диска (например, USB-ключ или подождите и посмотрите в конце этого руководства инструкции по безопасному резервному копированию). На этом аварийном диске не будет храниться ваша парольная фраза, и она все равно понадобится вам для его использования.
  • Режим очистки:
    • Если у вас еще нет конфиденциальных данных на этом ноутбуке, выберите «Нет».
    • Если у вас есть конфиденциальные данные на SSD, только Trim должен позаботиться об этом , но мы рекомендуем один проход (случайные данные), чтобы быть уверенным.
    • Если у вас есть конфиденциальные данные на жестком диске, обрезка отсутствует, и мы рекомендуем хотя бы 1 проход.
  • Проверьте свою установку. Теперь Veracrypt перезагрузит вашу систему, чтобы проверить загрузчик перед шифрованием. Этот тест должен пройти, чтобы шифрование продолжалось.
  • После ваш компьютер перезагружается и тест пройден. Veracrypt предложит вам начать процесс шифрования.
  • Запустите шифрование и дождитесь его завершения.
  • Вы закончили, пропустите маршрут B и перейдите к следующим шагам.
Будет еще один раздел о создании зашифрованных файловых контейнеров с правдоподобным отрицанием в Windows.

МАРШРУТ B: ПРАВДОПОДОБНОЕ ШИФРОВАНИЕ СО СКРЫТОЙ ОС (ТОЛЬКО ДЛЯ WINDOWS)​

Это поддерживается только в Windows.

Это рекомендуется только для жесткого диска. Это не рекомендуется для SSD-накопителя.

Ваша скрытая ОС не должна быть активирована (с помощью ключа продукта MS). Поэтому этот маршрут порекомендует и проведет вас через


Прочитайте документацию Veracrypt https://www.veracrypt.fr/en/VeraCrypt%20Hidden%20Operating%20System.html [Archive.org] (процесс создания скрытой части операционной системы) и https://www.veracrypt.fr /en/Security%20Requirements%20for%20Hidden%20Volumes.html [Archive.org] (Требования безопасности и меры предосторожности в отношении скрытых томов).

Вот как ваша система будет выглядеть после завершения этого процесса:

1661619366623.png
Как видите, этот процесс требует, чтобы у вас с самого начала было два раздела на жестком диске.

Этот процесс будет делать следующее:

  • Зашифруйте свой второй раздел (внешний том), который будет выглядеть как пустой неформатированный диск из обманной ОС.
  • Подскажите с возможностью скопировать какой-нибудь приманочный контент во внешний том.
    • Здесь вы скопируете свою коллекцию аниме/порно-приманки с внешнего жесткого диска на внешний том.
  • Создайте скрытый том во внешнем томе второго раздела. Здесь будет находиться скрытая ОС.
  • Клонируйте текущую установку Windows 10/11 на скрытый том.
  • Сотрите текущую работающую Windows 10/11.
  • Это означает, что ваша текущая Windows 10/11 станет скрытой Windows 10/11, и вам нужно будет переустановить новую обманную ОС Windows 10/11.
Обязательно, если у вас есть SSD-накопитель, и вы все еще хотите сделать это вопреки рекомендации: Отключите SSD Trim в Windows (опять же, это вообще НЕ рекомендуется, так как отключение Trim само по себе очень подозрительно ). Также , как упоминалось ранее, отключение Trim сократит срок службы вашего SSD-накопителя и значительно повлияет на его производительность с течением времени (ваш ноутбук будет становиться все медленнее и медленнее в течение нескольких месяцев использования, пока он не станет почти непригодным для использования, затем вам придется очистить диск и все переустановить). Но вы должны сделать это, чтобы предотвратить утечку данных , которая может позволить судебной экспертизе опровергнуть ваше правдоподобное отрицание. Единственный способ обойти это на данный момент — вместо этого иметь ноутбук с классическим жестким диском.

ШАГ 1. СОЗДАЙТЕ USB-КЛЮЧ ДЛЯ УСТАНОВКИ WINDOWS 10/11.

ШАГ 2. ЗАГРУЗИТЕ USB-НАКОПИТЕЛЬ И ЗАПУСТИТЕ ПРОЦЕСС УСТАНОВКИ WINDOWS 10/11 (СКРЫТАЯ ОС).​

  • Вставьте USB-ключ в свой ноутбук
  • Продолжите установку Windows 10/11 Домашняя.

ШАГ 3. НАСТРОЙКИ КОНФИДЕНЦИАЛЬНОСТИ (СКРЫТАЯ ОС)​

АГ 4: УСТАНОВКА VERACRYPT И ЗАПУСК ПРОЦЕССА ШИФРОВАНИЯ (СКРЫТАЯ ОС)​

Не забудьте прочитать https://www.veracrypt.fr/en/VeraCrypt%20Hidden%20Operating%20System.html [Archive.org]

Не подключайте эту ОС к известному вам Wi-Fi. Вам следует загрузить установщик Veracrypt с другого компьютера и скопировать его сюда с помощью USB-ключа. Вот шаги:

  • Установить Веракрипт
  • Запустить Веракрипт
  • Зайдите в настройки:
    • Настройки> Параметры производительности/драйвера> Зашифровать ОЗУ ( обратите внимание, что этот параметр не совместим с режимом гибернации вашего ноутбука и означает, что вам придется полностью отключиться)
    • Система > Настройки > Безопасность > Очистить ключи из памяти, если вставлено новое устройство
    • Система > Настройки > Windows > Включить безопасный рабочий стол
  • Зайдите в «Система» и выберите «Создать скрытую операционную систему».
  • Внимательно прочитайте все подсказки
  • Выберите Single-Boot, если будет предложено
  • Создайте внешний том, используя AES и SHA-512.
  • Используйте все пространство, доступное во втором разделе, для внешнего тома.
  • Используйте надежную парольную фразу .
  • Выберите «Да» для больших файлов
  • Создайте некоторую энтропию, перемещая мышь, пока полоса не заполнится, и выберите NTFS (не выбирайте exFAT, так как вы хотите, чтобы этот внешний том выглядел «нормально», а NTFS — это нормально).
  • Отформатируйте внешний том
  • Откройте внешний том:
    • На этом этапе вы должны скопировать данные приманки на внешний том. Таким образом, у вас должно быть несколько конфиденциальных, но не очень конфиденциальных файлов/папок для копирования туда. В случае, если вам нужно раскрыть пароль к этому Тому . Это хорошее место для вашей коллекции аниме/мп3/фильмов/порно.
    • Мы рекомендуем не заполнять внешний объем слишком сильно или слишком мало (около 40%). Помните, что вы должны оставить достаточно места для скрытой ОС (которая будет иметь тот же размер, что и первый раздел, который вы создали во время установки).
  • Используйте надежную парольную фразу для скрытого тома (очевидно, что она отличается от кодовой фразы для внешнего тома).
  • Теперь вы создадите скрытый том, выберите AES и SHA-512.
  • Заполните полосу энтропии до конца случайными движениями мыши
  • Отформатируйте скрытый том
  • Приступить к клонированию
  • Теперь Veracrypt перезапустится и клонирует Windows, с которой вы начали этот процесс, в скрытый том. Эта Windows станет вашей скрытой ОС.
  • Когда клонирование будет завершено, Veracrypt перезапустится в скрытой системе.
  • Veracrypt сообщит вам, что скрытая система теперь установлена, а затем предложит вам стереть исходную ОС (ту, которую вы установили ранее с помощью USB-ключа).
  • Используйте 1-Pass Wipe и продолжайте.
  • Теперь ваша Скрытая ОС будет установлена, переходите к следующему шагу.
  • Теперь ваша Скрытая ОС будет установлена, переходите к следующему шагу.

ШАГ 5: ПЕРЕЗАГРУЗИТЕ И ЗАГРУЗИТЕ USB-НАКОПИТЕЛЬ, А ЗАТЕМ СНОВА ЗАПУСТИТЕ ПРОЦЕСС УСТАНОВКИ WINDOWS 10/11 (DECOY OS).​

Теперь, когда Hidden OS полностью установлена, вам нужно установить Decoy OS:

  • Вставьте USB-ключ в свой ноутбук
  • Продолжите установку Windows 10/11 Home еще раз (не устанавливайте другую версию и придерживайтесь Home).

ШАГ 6: НАСТРОЙКИ КОНФИДЕНЦИАЛЬНОСТИ (DECOY OS)​


ШАГ 7: УСТАНОВКА VERACRYPT И ЗАПУСК ПРОЦЕССА ШИФРОВАНИЯ (DECOY OS)​

Теперь вы зашифруете Decoy OS:

  • Установить Веракрипт
  • Запустить VeraCrypt
  • Выберите систему
  • Выберите «Зашифровать системный раздел/диск».
  • Выберите Обычный (Простой)
  • Выберите одиночную загрузку
  • Выберите AES в качестве алгоритма шифрования (нажмите кнопку проверки, если хотите сравнить скорости)
  • Выберите SHA-512 в качестве алгоритма хеширования (почему бы и нет)
  • Введите короткий слабый пароль (да, это серьезно, сделайте это, это будет объяснено позже).
  • Соберите немного энтропии, случайным образом перемещая курсор, пока полоса не заполнится.
  • Нажмите «Далее» на экране «Сгенерированные ключи».
  • Спасать диск или нет, решать вам. Мы рекомендуем сделать один (на всякий случай), просто убедитесь, что он хранится вне вашего зашифрованного диска (например, USB-ключ или подождите и посмотрите в конце этого руководства инструкции по безопасному резервному копированию). На этом аварийном диске не будет храниться ваша парольная фраза, и она все равно понадобится вам для его использования.
  • Режим очистки: выберите 1-Pass на всякий случай
  • Предварительно протестируйте свою установку. Теперь Veracrypt перезагрузит вашу систему, чтобы проверить загрузчик перед шифрованием. Этот тест должен пройти, чтобы шифрование продолжалось.
  • После ваш компьютер перезагружается и тест пройден. Veracrypt предложит вам начать процесс шифрования.
  • Запустите шифрование и дождитесь его завершения.
  • Теперь ваша ОС Decoy готова к использованию.

ШАГ 8. ПРОВЕРЬТЕ НАСТРОЙКУ (ЗАГРУЗИТЕСЬ В ОБОИХ РЕЖИМАХ)​

Время проверить вашу установку:

  • Перезагрузитесь и введите парольную фразу для скрытой ОС, вы должны загрузиться в скрытой ОС.
  • Перезагрузитесь и введите кодовую фразу Decoy OS, вы должны загрузиться в Decoy OS.
  • Запустите Veracrypt в ОС-приманке и смонтируйте второй раздел, используя парольную фразу внешнего тома (смонтируйте его как доступный только для чтения, перейдя в «Параметры подключения» и выбрав «Только для чтения»), и он должен смонтировать второй раздел как доступный только для чтения, отображающий вашу приманку. data (ваша коллекция аниме/порно). Теперь вы монтируете его как доступный только для чтения, потому что, если бы вы записывали на него данные, вы могли бы переопределить содержимое своей скрытой ОС.

ШАГ 9: БЕЗОПАСНОЕ ИЗМЕНЕНИЕ ДАННЫХ ПРИМАНКИ НА ВНЕШНЕМ ТОМЕ​

Прежде чем перейти к следующему шагу, вы должны научиться безопасно монтировать внешний том для записи на него контента. Это также объясняется в этой официальной документации Veracrypt https://www.veracrypt.fr/en/Protection%20of%20Hidden%20Volumes.html [Archive.org]

Вы должны сделать это из безопасного надежного места.

По сути, вы собираетесь смонтировать внешний том, а также указать парольную фразу скрытого тома в параметрах монтирования, чтобы защитить скрытый том от перезаписи. Затем Veracrypt позволит вам записывать данные во внешний том, не рискуя перезаписать какие-либо данные в скрытом томе:

  • Открыть Веракрипт
  • Выберите второй раздел
  • Нажмите Смонтировать
  • Щелкните Параметры монтирования.
  • Установите флажок «Защитить скрытый том…»
  • Введите секретную фразу-пароль ОС
  • Нажмите ОК
  • Введите кодовую фразу внешнего тома
  • Нажмите ОК
  • Теперь вы должны иметь возможность открывать внешний том и записывать его для изменения содержимого (копировать/перемещать/удалять/редактировать…)
Эта операция фактически не будет монтировать скрытый том и должна предотвратить создание каких-либо криминалистических доказательств, которые могут привести к обнаружению скрытой ОС. Однако, пока вы выполняете эту операцию, оба пароля будут храниться в вашей оперативной памяти, и поэтому вы все еще можете быть подвержены атаке с холодной загрузкой. Чтобы смягчить это, убедитесь, что у вас есть возможность зашифровать вашу оперативную память, как указано ранее.

ШАГ 10: ОСТАВЬТЕ НЕКОТОРЫЕ ДОКАЗАТЕЛЬСТВА СУДЕБНОЙ ЭКСПЕРТИЗЫ ВАШЕГО ВНЕШНЕГО ТОМА (С ДАННЫМИ-ПРИМАНКАМИ) В ВАШЕЙ ОС-ПРИМАНКЕ.​

Мы должны сделать Decoy OS максимально правдоподобной. Мы также хотим, чтобы ваш противник думал, что вы не настолько умны.

Поэтому важно добровольно оставить некоторые судебные доказательства вашего контента-приманки в вашей ОС-приманке. Это доказательство позволит судебно-медицинским экспертам увидеть, что вы часто монтировали внешний том для доступа к его содержимому.

Вот полезные советы, как оставить некоторые улики для судебной экспертизы:

  • Воспроизведите содержимое внешнего тома из вашей ОС-приманки (например, с помощью VLC). Обязательно сохраните историю тех.
  • Редактируйте документы и работайте над ними.
  • Снова включите индексирование файлов в ОС-приманке и включите смонтированный внешний том.
  • Размонтируйте его и чаще монтируйте, чтобы посмотреть какой-нибудь контент.
  • Скопируйте некоторый контент из вашего внешнего тома в свою ОС-приманку, а затем удалите его небезопасно (просто поместите его в корзину).
  • Установите торрент-клиент в ОС Decoy и используйте его время от времени для загрузки чего-то подобного, что вы оставите в ОС Decoy.
  • Вы можете установить VPN-клиент на ОС Decoy с известным вашим VPN (оплачивается безналичными).
Не кладите на Decoy OS ничего подозрительного, например:

  • Это руководство
  • Любые ссылки на это руководство
  • Любое подозрительное программное обеспечение для анонимности, такое как Tor Browser

ЗАМЕТКИ:​

Помните, что вам потребуются веские оправдания, чтобы этот сценарий правдоподобного отрицания сработал:
  • загрузки чего-то подобного, что вы оставите в ОС Decoy.
  • Вы можете установить VPN-клиент на ОС Decoy с известным вашим VPN (оплачивается безналичными).
Не кладите на Decoy OS ничего подозрительного, например:

  • Это руководство
  • Любые ссылки на это руководство
  • Любое подозрительное программное обеспечение для анонимности, такое как Tor Browser

ЗАМЕТКИ:​

Помните, что вам потребуются веские оправдания, чтобы этот сценарий правдоподобного отрицания сработал:

  • Вы используете Veracrypt, потому что используете Windows 10/11 Home, в которой нет Bitlocker, но все же требуется конфиденциальность.
  • У вас есть два раздела, потому что вы хотели разделить систему и данные для удобства организации и потому, что какой-то друг-компьютерщик сказал вам, что это лучше для производительности.
  • Вы использовали слабый пароль для удобной загрузки в Системе и длинную надежную парольную фразу для внешнего тома, потому что вам было лень вводить надежную парольную фразу при каждой загрузке.
  • Вы зашифровали второй раздел другим паролем, потому что вы не хотите, чтобы кто-либо из вашего окружения видел ваши данные. Итак, вы не хотели, чтобы эти данные были доступны кому-либо.
Найдите время, чтобы снова прочитать «Возможные объяснения существования двух разделов Veracrypt на одном диске» документации Veracrypt здесь https://www.veracrypt.fr/en/VeraCrypt%20Hidden%20Operating%20System.html [Archive.org ]

Будь осторожен:

  • Вы никогда не должны монтировать скрытый том из ОС-приманки (НИКОГДА). Если вы сделаете это, это создаст криминалистические доказательства наличия скрытого тома в ОС-приманке, что может поставить под угрозу вашу попытку правдоподобного отрицания . Если вы все равно сделали это (намеренно или по ошибке) из ОС Decoy, есть способы стереть улики судебной экспертизы, которые будут объяснены позже в конце этого руководства.
  • Никогда не используйте ОС-приманку из той же сети (общедоступной сети Wi-Fi), что и скрытая ОС.
  • Когда вы монтируете внешний том из ОС-приманки, не записывайте никаких данных во внешний том, так как это может переопределить то, что выглядит как пустое пространство, но на самом деле является вашей скрытой ОС. Вы всегда должны монтировать его только для чтения.
  • Если вы хотите изменить содержимое приманки внешнего тома, вам следует использовать USB-ключ Live OS, который будет запускать Veracrypt.
  • Обратите внимание, что вы не будете использовать скрытую ОС для выполнения конфиденциальных действий, это будет сделано позже с виртуальной машины в скрытой ОС. Скрытая ОС предназначена только для защиты вас от мягкого противника, который может получить доступ к вашему ноутбуку и заставить вас раскрыть свой пароль.
  • Будьте осторожны с любым вмешательством в ваш ноутбук. Атаки Evil-Maid могут раскрыть вашу скрытую ОС.
 

Virtualbox на вашей хост-ОС:


Этот шаг и следующие шаги должны выполняться из операционной системы хоста. Это может быть либо ваша хост-ОС с простым шифрованием (Windows/Linux/macOS), либо ваша скрытая ОС с правдоподобным отрицанием (только для Windows).

На этом пути вы будете широко использовать бесплатное программное обеспечение Oracle Virtualbox . Это программное обеспечение для виртуализации, в котором вы можете создавать виртуальные машины, эмулирующие компьютер под управлением определенной ОС (если вы хотите использовать что-то еще, например, Xen, Qemu, KVM или VMWARE, не стесняйтесь, но эта часть руководства охватывает Virtualbox только для удобства).

Таким образом, вы должны знать, что Virtualbox не является программным обеспечением для виртуализации с лучшим послужным списком с точки зрения безопасности, и некоторые из обнаруженных проблем не были полностью устранены на сегодняшний день , и если вы используете Linux с немного большими техническими навыками , вам следует рассмотреть возможность использования KVM вместо этого, следуя руководству, доступному на Whonix здесь https://www.whonix.org/wiki/KVM [Archive.org] и здесь https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox .3F [Архив.org]

Некоторые шаги должны быть предприняты во всех случаях:

Все ваши конфиденциальные действия будут выполняться из гостевой виртуальной машины под управлением Windows 10/11 Pro (на этот раз не Home), Linux или macOS.

У этого есть несколько преимуществ, которые помогут вам сохранить анонимность:

  • Это должно препятствовать прямому доступу ОС гостевой виртуальной машины (Windows/Linux/macOS), приложений и любой телеметрии внутри виртуальных машин к вашему оборудованию. Даже если ваша виртуальная машина скомпрометирована вредоносным ПО, это вредоносное ПО не должно иметь доступа к виртуальной машине и поставить под угрозу ваш реальный ноутбук.
  • Это позволит нам заставить весь сетевой трафик от вашей клиентской виртуальной машины проходить через другую виртуальную машину шлюза, которая будет направлять (торифицировать) весь трафик в сеть Tor. Это сетевой «выключатель». Ваша виртуальная машина полностью потеряет подключение к сети и отключится, если другая виртуальная машина потеряет подключение к сети Tor.
  • Сама виртуальная машина, которая имеет подключение к Интернету только через сетевой шлюз Tor, будет подключаться к платному VPN-сервису через Tor.
  • Утечки DNS будут невозможны, потому что виртуальная машина находится в изолированной сети, которая должна пройти через Tor, несмотря ни на что
 

Выберите способ подключения:​

В этом маршруте есть семь возможностей:

  • Рекомендуемые и предпочтительные:
    • Используйте только Tor (Пользователь > Tor > Интернет)
    • Используйте VPN через Tor (Пользователь > Tor > VPN > Интернет) в определенных случаях
    • Используйте VPS с собственным VPN/прокси через Tor (Пользователь > Tor > Самостоятельный VPN/прокси > Интернет) в определенных случаях.
  • Возможно, если этого требует контекст:
    • Используйте VPN через Tor через VPN (Пользователь > VPN > Tor > VPN > Интернет)
    • Используйте Tor через VPN (Пользователь > VPN > Tor > Интернет)
  • Не рекомендуется и опасно:
    • Использовать только VPN (Пользователь > VPN > Интернет)
    • Используйте VPN через VPN (Пользователь > VPN > VPN > Интернет)
  • Не рекомендуется и очень рискованно (но возможно)
    • Без VPN и без Tor (Пользователь > Интернет)
1661623466500.png

Только Тор:​

Это предпочтительное и наиболее рекомендуемое решение.
1661623607152.png
С этим решением вся ваша сеть проходит через Tor, и в большинстве случаев этого должно быть достаточно, чтобы гарантировать вашу анонимность.

Однако есть один главный недостаток: некоторые сервисы полностью блокируют/банят узлы Tor Exit и не позволяют создавать на них учетные записи.

Чтобы смягчить это, вам, возможно, придется рассмотреть следующий вариант: VPN через Tor, но учтите некоторые связанные с этим риски, описанные в следующем разделе.

VPN/прокси через Tor:​

Это решение может принести некоторые преимущества в некоторых конкретных случаях по сравнению с использованием Tor только в тех случаях, когда доступ к целевому сервису был бы невозможен с выходного узла Tor. Это связано с тем, что многие сервисы просто прямо запрещают, препятствуют или блокируют узлы выхода Tor (см. https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor [Archive.org] ).

Это решение может быть достигнуто двумя способами:

  • Платный VPN через Tor (самый простой)
  • Платный VPS с собственным хостингом, сконфигурированный как VPN/Proxy (наиболее эффективен для обхода онлайн-препятствий, таких как капчи, но требует дополнительных навыков работы с Linux)
Как вы можете видеть на этом рисунке, если ваш VPN/прокси с оплатой за наличные (предпочтительно)/Monero скомпрометирован злоумышленником (несмотря на их заявление о конфиденциальности и политику отсутствия регистрации), он найдет только анонимный VPN/прокси с оплатой за наличные/Monero. учетная запись, подключающаяся к их услугам с узла Tor Exit.
1661623739354.png
Если злоумышленнику каким-то образом удастся скомпрометировать и сеть Tor, он раскроет только IP-адрес случайного общедоступного Wi-Fi, который не привязан к вашей личности.

Если злоумышленник каким-либо образом скомпрометирует ОС вашей виртуальной машины (например, с помощью вредоносного ПО или эксплойта), он окажется в ловушке во внутренней сети Whonix и не сможет раскрыть IP-адрес общедоступного Wi-Fi.

Однако у этого решения есть один главный недостаток, который следует учитывать: вмешательство в изоляцию Tor Stream .

Изоляция потока — это метод смягчения, используемый для предотвращения некоторых корреляционных атак за счет использования разных цепей Tor для каждого приложения. Вот иллюстрация, показывающая, что такое изоляция потока:
1661623972142.png
VPN/прокси через Tor находится справа что означает, что использование VPN/прокси через Tor заставляет Tor использовать один канал для всех действий вместо нескольких каналов для каждого. Это означает, что использование VPN/прокси через Tor может снизить эффективность Tor в некоторых случаях и поэтому должно использоваться только в некоторых конкретных случаях:

  • Когда ваш целевой сервис не разрешает узлы Tor Exit.
  • Когда вы не возражаете против использования общего канала Tor для различных сервисов. Например, при использовании различных аутентифицированных сервисов.
Тем не менее, вам следует подумать о том, чтобы не использовать этот метод, если ваша цель состоит в том, чтобы просто просматривать случайные различные веб-сайты, не прошедшие проверку подлинности, поскольку вы не получите выгоды от изоляции потока, и это может со временем облегчить корреляционные атаки для злоумышленника между каждым из ваших сеансов . Однако если ваша цель состоит в том, чтобы использовать один и тот же идентификатор в каждом сеансе одних и тех же аутентифицированных служб, значение изоляции потока уменьшается, поскольку вы можете сопоставляться с помощью других средств.

Вы также должны знать, что изоляция потоков не обязательно настроена по умолчанию на рабочей станции Whonix. Он предварительно настроен только для некоторых приложений (включая Tor Browser).

Также обратите внимание, что Stream Isolation не обязательно изменяет все узлы в вашей цепи Tor. Иногда он может изменить только один или два. Во многих случаях Stream Isolation (например, в Tor Browser) изменяет только промежуточный (средний) узел и выходной узел, сохраняя при этом тот же защитный (входной) узел.

Дополнительная информация по адресу:

Тор через VPN:​

Вам может быть интересно: а как насчет использования Tor через VPN вместо VPN через Tor? Ну, мы бы не обязательно рекомендовали это:

  • Недостатки:
    • Ваш провайдер VPN — это просто еще один интернет-провайдер, который узнает ваш исходный IP-адрес и сможет при необходимости деанонимизировать вас. Мы им не доверяем. Мы предпочитаем ситуацию, когда ваш провайдер VPN не знает, кто вы. Это не добавляет многого в плане анонимности.
    • Это приведет к тому, что вы будете подключаться к различным службам, используя IP-адрес выходного узла Tor, который запрещен или помечен во многих местах. Это не помогает с точки зрения удобства.
  • Преимущества:
    • Основное преимущество в том, что если вы находитесь во враждебной среде, где доступ через Tor невозможен/опасн/подозрителен, но с VPN все в порядке.
    • Этот метод также не нарушает изоляцию Tor Stream.
    • Это также скрывает ваши действия Tor от вашего основного интернет-провайдера.
Обратите внимание: если у вас возникли проблемы с доступом к сети Tor из-за блокировки/цензуры, вы можете попробовать использовать Tor Bridges.

Также можно рассмотреть VPN через Tor через VPN (Пользователь > VPN > Tor > VPN > Интернет) , используя вместо этого два платных VPN с наличными/Monero. Это означает, что вы подключите хост-ОС к первому VPN через общедоступный Wi-Fi, затем Whonix подключится к Tor и, наконец, ваша виртуальная машина подключится ко второму VPN через Tor через VPN (см . whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor [Archive.org] ).

Это, конечно, окажет значительное влияние на производительность и может быть довольно медленным, но где-то Tor необходим для достижения разумной анонимности.

Достичь этого технически легко в рамках этого маршрута, вам нужны две отдельные анонимные учетные записи VPN, и вы должны подключиться к первой VPN из хост-ОС и следовать по маршруту.

Вывод: делайте это только в том случае, если вы считаете, что использование Tor в одиночку рискованно/невозможно, но с VPN все в порядке. Или просто потому, что можно, а почему бы и нет. Этот метод не снизит вашу безопасность/конфиденциальность/анонимность.

Только VPN:​

Этот маршрут не будет ни объяснен, ни рекомендован.

Если вы можете использовать VPN, вы сможете добавить поверх него слой Tor. И если вы можете использовать Tor, вы можете добавить анонимный VPN через Tor, чтобы получить предпочтительное решение.

Простое использование VPN или даже VPN через VPN не имеет смысла, поскольку со временем их можно отследить до вас. Один из провайдеров VPN будет знать ваш настоящий исходный IP-адрес (даже если он находится в безопасном публичном месте), и даже если вы добавите его поверх него, второй все равно будет знать, что вы использовали этот другой первый VPN-сервис. Это лишь немного задержит вашу деанонимизацию. Да, это дополнительный уровень… но это постоянный централизованный дополнительный уровень, и со временем вы можете быть деанонимизированы. Это просто цепочка из 3 интернет-провайдеров, все из которых подлежат законным запросам.

Для получения дополнительной информации см. следующие ссылки:

В контексте этого руководства Tor требуется где-то для достижения разумной и безопасной анонимности, и вы должны использовать его, если можете.

Без VPN/Tor:​

Если вы не можете использовать VPN или Tor там, где находитесь, вы, вероятно, находитесь в очень враждебной среде, где наблюдение и контроль чрезвычайно высоки.

Просто не надо, это того не стоит и слишком рискованно. Вы можете быть практически мгновенно деанонимизированы любым мотивированным противником, который может добраться до вашего физического местоположения за считанные минуты.

Если у вас абсолютно нет другого выбора, но вы все равно хотите что-то сделать, (на ваш страх и риск) и вместо этого рассмотрите маршрут The Tails .
 
Ч.2
Тип соединенияАнонимностьПростота доступа к онлайн-ресурсамИзоляция Tor StreamБезопаснее там, где Tor подозрительный/опасныйСкоростьРасходырекомендуемые
Тор одинХорошийСерединаВозможныйНетСерединаБесплатноДа
Тор через VPNХороший+СерединаВозможныйДаСерединаОколо 50€/годПри необходимости (Tor недоступен)
Тор через VPN через TorЛучшийСерединаВозможныйДаМедленныйОколо 50€/годДа
VPN через ТорХороший-ХорошийНетНетСерединаОколо 50€/годПри необходимости (удобство)
Собственный VPS VPN/прокси через TorХороший-ОтличноНетДаСерединаОколо 50€/годПри необходимости (удобство)
VPN/прокси через Tor через VPNХороший-ХорошийНетДаМедленныйОколо 100€/годПри необходимости (удобство и недоступный Tor)
Только VPN/проксиПлохоХорошийН/дДаХорошийОколо 50€/годНет
Без Тора и ВПНПлохоНеизвестноН/дНетХорошийОколо 100 € (антенна)Нет
через Tor через VPNХороший-ХорошийНетДаБедныйОколо 100€/годПри необходимости (удобство и недоступный Tor)
Только VPN/проксиПлохоХорошийН/ДДаХорошийОколо 50€/годНет.
Без Тора и ВПНПлохоНеизвестныйН/ДНетХорошийОколо 100 € (антенна)Нет.
К сожалению, использование только Tor вызовет подозрения у многих платформ назначения. Вы столкнетесь со многими препятствиями (каптчами, ошибками, трудностями при регистрации), если будете использовать только Tor. Кроме того, использование Tor там, где вы находитесь, может создать вам проблемы только из-за этого. Но Tor по-прежнему остается лучшим решением для анонимности и должен быть где-то для анонимности.

  • Если вы намерены создать постоянные общие и аутентифицированные удостоверения в различных службах, где доступ из Tor затруднен, мы рекомендуем варианты VPN через Tor и VPS VPN/Proxy через Tor (или VPN через Tor через VPN, если необходимо). Это может быть немного менее защищено от корреляционных атак из-за нарушения изоляции Tor Stream, но обеспечивает гораздо более удобный доступ к онлайн-ресурсам, чем просто использование Tor. Это «приемлемый» компромисс IMHP, если вы достаточно осторожны со своей личностью.
    • Примечание. Становится все более распространенным, что основные сервисы и CDNS также блокируют или мешают пользователям VPN с помощью капчи и других различных препятствий . В этом случае самостоятельный VPS с VPN / прокси через Tor является лучшим решением для этого, поскольку наличие собственного выделенного VPS гарантирует, что вы являетесь единственным пользователем своего IP и практически не сталкиваетесь с препятствиями. Рассмотрите возможность использования собственного VPN/прокси на Monero/VPS с оплатой наличными, если вы хотите получить наименьшее количество проблем (более подробно это будет объяснено в следующем разделе).
  • Однако, если вы намерены просто анонимно просматривать случайные сервисы без создания конкретных общих идентификаторов, используя сервисы, дружественные к tor; или если вы не хотите принимать этот компромисс в предыдущем варианте. Затем мы рекомендуем использовать маршрут «Только Tor», чтобы сохранить все преимущества Stream Isolation (или Tor over VPN, если вам нужно).
  • Если стоимость является проблемой, мы рекомендуем вариант «Только Tor», если это возможно.
  • Если доступ как через Tor, так и через VPN невозможен или опасен, у вас нет другого выбора, кроме как безопасно полагаться на общедоступный Wi-Fi.
Для получения дополнительной информации вы также можете просмотреть обсуждения здесь, которые могут помочь вам решить самостоятельно:

 
Последнее редактирование:

Получение анонимного VPN/прокси:

Пропустите этот шаг, если хотите использовать только Tor.

Whonix:​

Пропустите этот шаг, если вы не можете использовать Tor.

Этот маршрут будет использовать виртуализацию и Whonix как часть процесса анонимизации. Whonix — это дистрибутив Linux, состоящий из двух виртуальных машин:

  • Рабочая станция Whonix (это виртуальная машина, на которой вы можете выполнять конфиденциальные действия)
  • Шлюз Whonix (эта виртуальная машина установит соединение с сетью Tor и направит весь сетевой трафик с рабочей станции через сеть Tor).
Таким образом, это руководство предложит два варианта этого маршрута:

  • Единственный маршрут Whonix, при котором весь трафик направляется через сеть Tor (только Tor или Tor через VPN)
1661664596099.png
  • Гибридный маршрут Whonix, при котором весь трафик направляется через наличный (предпочтительный)/платный VPN Monero через сеть Tor (VPN через Tor или VPN через Tor через VPN).
1661664649100.png
Вы сможете решить, какой аромат использовать, основываясь на моих рекомендациях. Мы рекомендуем второй, как объяснялось ранее.

Whonix хорошо поддерживается и имеет обширную и невероятно подробную документацию.

Примечание о моментальных снимках Virtualbox:​

Позже вы создадите и запустите несколько виртуальных машин в Virtualbox для своих конфиденциальных действий. Virtualbox предоставляет функцию под названием «Снимки» , которая позволяет сохранять состояние виртуальной машины в любой момент времени. Если позже по какой-либо причине вы захотите вернуться к этому состоянию, вы можете восстановить этот снимок в любой момент.

Я настоятельно рекомендую вам использовать эту функцию, создавая моментальный снимок после первоначальной установки/обновления каждой виртуальной машины. Этот моментальный снимок должен быть сделан до его использования для любой конфиденциальной/анонимной деятельности.

Это позволит вам превратить ваши виртуальные машины в своего рода одноразовые «живые операционные системы» (наподобие Tails, о которых говорилось ранее). Это означает, что вы сможете стереть все следы своих действий внутри виртуальной машины, восстановив снэпшот до более раннего состояния. Конечно, это будет не так хорошо, как Tails (где все хранится в памяти), так как на жестком диске могут остаться следы этой активности. Криминалистические исследования показали возможность восстановления данных из восстановленной виртуальной машины . К счастью, будут способы удалить эти следы после удаления или возврата к более раннему моментальному снимку.

Скачать утилиты Virtualbox и Whonix:​

Вы должны загрузить несколько вещей в ОС хоста:

  • Последняя версия установщика Virtualbox в соответствии с вашей хост-ОС https://www.virtualbox.org/wiki/Downloads [Archive.org]
  • (Пропустите это, если вы не можете использовать Tor изначально или через VPN) Последний файл Whonix OVA с https://www.whonix.org/wiki/Загрузите [Archive.org] в соответствии с вашими предпочтениями (Linux/Windows, с настольным компьютером). интерфейс XFCE для простоты или только с текстовым клиентом для продвинутых пользователей)
На этом подготовка завершена, и теперь вы должны быть готовы приступить к настройке окончательной среды, которая защитит вашу анонимность в Интернете.

Рекомендации по усилению защиты Virtualbox:​

Для идеальной безопасности вы должны следовать приведенным здесь рекомендациям для каждой виртуальной машины Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening [Archive.org] :

  • Отключить звук.
  • Не включайте общие папки.
  • Не включайте 2D-ускорение. Это делается с помощью следующей командыVBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
  • Не включайте 3D-ускорение.
  • Не включайте последовательный порт.
  • Извлеките дисковод.
  • Извлеките привод CD/DVD.
  • Не включайте сервер Remote Display.
  • Включите PAE/NX (NX — это функция безопасности).
  • Отключите расширенную настройку и интерфейс питания (ACPI). Это делается с помощью следующей командыVBoxManage modifyvm "vm-id" --acpi on|off
  • Не подключайте USB-устройства.
  • Отключите контроллер USB, который включен по умолчанию. Установите указывающее устройство на «Мышь PS/2», иначе изменения будут отменены.
Наконец, также следуйте этой рекомендации, чтобы десинхронизировать часы вашей виртуальной машины по сравнению с вашей хост-ОС https://www.whonix.org/wiki/Network_Time_Synchronization#Spoof_the_Initial_Virtual_Hardware_Clock_Offset [Archive.org]

Это смещение должно быть в пределах 60000 миллисекунд и должно быть разным для каждой ВМ. Вот несколько примеров (которые впоследствии можно применить к любой ВМ):

  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
  • VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931
Кроме того, рассмотрите возможность применения этих средств защиты от VirtualBox для устранения уязвимостей Spectre / Meltdown , выполнив эту команду из каталога программ VirtualBox. Все это описано здесь: https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (имейте в виду, что это может серьезно повлиять на производительность ваших виртуальных машин, но это следует делать для обеспечения максимальной безопасности).

Наконец, рассмотрите советы по безопасности от самих Virtualbox здесь https://www.virtualbox.org/manual/ch13.html [Archive.org]
 

Тор через VPN:

Пропустите этот шаг, если вы не собираетесь использовать Tor через VPN, а собираетесь использовать только Tor или не можете.

Если вы по какой-либо причине собираетесь использовать Tor через VPN. Сначала вы должны настроить службу VPN в своей операционной системе.

Помните, что в этом случае мы рекомендуем иметь две учетные записи VPN. Оба платили наличными/монеро. Один будет использоваться в хост-ОС для первого VPN-подключения. Другой можно использовать в виртуальной машине для достижения VPN через Tor через VPN (Пользователь > VPN > Tor > VPN).

Если вы собираетесь использовать Tor только через VPN, вам понадобится только одна учетная запись VPN.
 

Виртуальные машины Whonix:

Пропустите этот шаг, если вы не можете использовать Tor.

На этом этапе помните, что если у вас возникли проблемы с подключением к Tor из-за цензуры или блокировки, вам следует рассмотреть возможность подключения с помощью Bridges, как описано в этом руководстве https://www.whonix.org/wiki/Bridges [Archive.org] .

  • Обновите виртуальные машины Whonix, следуя инструкциям на https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates [Archive.org]
  • Выключите виртуальные машины Whonix
  • Сделайте снимок обновленных виртуальных машин Whonix в Virtualbox (выберите виртуальную машину и нажмите кнопку «Сделать снимок»). Подробнее об этом позже.
  • Перейти к следующему шагу
Важное примечание: вы также должны прочитать эти очень хорошие рекомендации здесь https://www.whonix.org/wiki/DoNot [Archive.org] , так как большинство этих принципов применимы и к этому руководству. Вы также должны прочитать их общую документацию здесь https://www.whonix.org/wiki/Documentation [Archive.org] , которая также содержит множество советов, таких как это руководство
 

Выберите виртуальную машину гостевой рабочей станции:

Использование Whonix/Linux потребует от вас больше навыков, так как это дистрибутивы Linux. Вы также столкнетесь с большими трудностями, если собираетесь использовать конкретное программное обеспечение, которое может быть сложнее использовать в Whonix/Linux. Настройка VPN через Tor на Whonix также будет сложнее, чем на Windows.

Если вы можете использовать Tor:​

Вы можете решить, предпочитаете ли вы выполнять свои конфиденциальные действия с рабочей станции Whonix, представленной в предыдущем разделе (настоятельно рекомендуется) , или с пользовательской виртуальной машины, которая будет использовать шлюз Whonix, такой как рабочая станция Whonix (менее безопасная, но может потребоваться в зависимости от того, что вы намерен сделать).

Если вы не можете использовать Tor:​

Если вы не можете использовать Tor, вы можете использовать пользовательскую виртуальную машину по вашему выбору, которая в идеале будет использовать анонимный VPN, если это возможно, для последующего подключения к сети Tor. Или вы можете пойти по рискованному пути:
 

Виртуальная машина Linux (Whonix или Linux):​

Рабочая станция Whonix (рекомендуется и предпочтительна) :​

Пропустите этот шаг, если вы не можете использовать Tor.

Просто используйте предоставленную виртуальную машину Whonix Workstation. Это самый безопасный и безопасный способ пройти по этому маршруту.

Кроме того, это единственная виртуальная машина, которая обеспечивает изоляцию потоков, предварительно настроенную для большинства приложений по умолчанию .


Если вам нужно дополнительное программное обеспечение на рабочей станции (например, другой браузер), следуйте их руководству здесь https://www.whonix.org/wiki/Install_Software [Archive.org]

Рассмотрите возможность запуска Whonix в режиме реального времени для дополнительной защиты от вредоносных программ. См. https://www.whonix.org/wiki/Anti-Forensics_Precautions [Archive.org]

Рассмотрите возможность использования AppArmor на рабочих станциях Whonix, следуя этому руководству: https://www.whonix.org/wiki/AppArmor [Archive.org]

Linux (любой дистрибутив):​

Будьте осторожны, любая настройка, которую вы делаете для гостевых виртуальных машин, отличных от Whonix (раскладка клавиатуры, язык, часовой пояс, разрешение экрана и т. д.), может быть использована для отпечатков пальцев ваших виртуальных машин позже. См. https://www.whonix.org/wiki/VM_Fingerprinting [Archive.org]

ЕСЛИ ВЫ МОЖЕТЕ ИСПОЛЬЗОВАТЬ TOR (ИСХОДНО ИЛИ ЧЕРЕЗ VPN):​

Используйте дистрибутив Linux по вашему выбору. Мы бы порекомендовали Ubuntu или Fedora для удобства, но подойдет и любая другая. Обязательно отключите телеметрию.

Подробные инструкции см. в этом руководстве https://www.whonix.org/wiki/Other_Operating_Systems [Archive.org] .

ЕСЛИ ВЫ НЕ МОЖЕТЕ ИСПОЛЬЗОВАТЬ TOR:​

Используйте дистрибутив Linux по вашему выбору. Мы бы порекомендовали Ubuntu или Fedora для удобства, но подойдет и любая другая. Обязательно отключите телеметрию. Вы можете пойти по рискованному пути:

ВЫБЕРИТЕ БРАУЗЕР ВНУТРИ ВИРТУАЛЬНОЙ МАШИНЫ:​

На этот раз мы порекомендуем браузер Brave.
 

Виртуальная машина Windows 10/11:

Будьте осторожны, любая настройка, которую вы делаете для гостевых виртуальных машин, отличных от Whonix (раскладка клавиатуры, язык, часовой пояс, разрешение экрана и т. д.), может быть использована для отпечатков пальцев ваших виртуальных машин позже. См. https://www.whonix.org/wiki/VM_Fingerprinting[Archive.org]

Загрузка ISO-образа Windows 10 и 11:​

Используйте официальную виртуальную машину Windows 10/11 Pro и укрепите ее самостоятельно: и выберите маршрут ISO.

УСТАНОВИТЬ:​

  • Выключите виртуальную машину Whonix Gateway (это предотвратит отправку телеметрии Windows и позволит вам создать локальную учетную запись).
  • Откройте виртуальный бокс
  • Выберите «Машина» > «Создать» > «Выберите Windows 10 или Windows 11 64bit».
  • Выделить не менее 2 ГБ для Windows 10 и 4 ГБ для Windows 11.
  • Создайте виртуальный диск с использованием формата VDI и выберите «Динамически распределенный».
  • Оставьте размер диска равным 50 ГБ для Windows 10 и 80 ГБ для Windows 11 (это максимум; он не должен достигать таких значений).
  • Убедитесь, что PAE/NX включен в System > Processor.
  • Выберите виртуальную машину и нажмите «Настройки», перейдите на вкладку «Сеть».
  • Выберите «Внутренняя сеть» в поле «Присоединен к» и выберите Whonix.
  • Перейдите на вкладку «Хранилище», выберите «Пустой компакт-диск» и щелкните значок рядом с портом SATA 1.
  • Нажмите «Выбрать файл на диске» и выберите ISO-образ Windows, который вы ранее загрузили.
  • Нажмите «ОК» и запустите виртуальную машину.
  • Virtualbox предложит вам либо нажать кнопку для загрузки ISO, либо спросить вас, что загружать, выбрать ISO или щелкнуть.
  • Запустите виртуальную машину Whonix Gateway

СЕТЕВЫЕ НАСТРОЙКИ:​

  • Вернуться к вашей Windows
  • Windows 10: вернитесь в «Настройки», затем «Сеть и Интернет». Windows 11: зайдите в настройки, щелкните меню в левом верхнем углу и выберите «Сеть и Интернет».
  • Windows 10: нажмите «Свойства» (ниже «Ethernet»). Windows 11: нажмите Ethernet
  • Windows 10: изменить настройки IP. Windows 11: изменить назначение IP-адресов.
  • Windows 10: Включите IPv4 и установите следующее. Windows 11: Переключитесь с DHCP на Вручную и установите следующее:
    • IP-адрес 10.152.152.50(увеличьте этот IP-адрес на единицу для любой другой ВМ)
    • Длина префикса подсети 18( 255.255.192.0)
    • Шлюз 10.152.152.10(это шлюз Whonix)
    • (Windows 10) DNS 10.152.152.10(это снова Whonix Gateway)
    • (Windows 11) выйдите из назначения IP-адресов, выберите назначение DNS-сервера и установите его на 10.152.152.10(это снова Whonix Gateway)
    • Сохранять
  • Windows может предложить вам, хотите ли вы, чтобы вас «обнаруживали» в этой сети. Щелкните НЕТ. Всегда оставайтесь в «общедоступной сети», если будет предложено.
Каждый раз, когда вы будете включать эту виртуальную машину в будущем, вы должны обязательно менять ее MAC-адрес Ethernet перед каждой загрузкой. Вы можете сделать это в Virtualbox> Настройки> Сеть> Дополнительно> Нажмите кнопку обновления рядом с MAC-адресом. Вы можете сделать это только тогда, когда виртуальная машина выключена.

УСТАНОВИТЬ:​

  • Откройте виртуальный бокс
  • Выберите «Машина» > «Создать» > «Выберите Windows 10 или 11 64bit».
  • Выделите минимальный объем 4 ГБ ОЗУ для 11, 2 ГБ ОЗУ для 10.
  • Создайте виртуальный диск с использованием формата VDI и выберите «Динамически распределенный».
  • На вкладке «Система/процессор» убедитесь, что PAE/NX включен.
    • Оставьте размер диска на уровне 80 ГБ для 11, 50 ГБ для 10 (это максимум, он не должен достигать таких размеров)
    • Перейдите на вкладку «Хранилище», выберите «Пустой компакт-диск» и щелкните значок рядом с портом SATA 1.
    • Нажмите «Выбрать файл на диске» и выберите ISO-образ Windows, который вы ранее загрузили.
    • Нажмите «ОК» и запустите виртуальную машину.
    • Virtualbox предложит вам либо нажать кнопку для загрузки ISO, либо спросить вас, что загружать, выбрать ISO или щелкнуть.
    • СЕТЕВЫЕ НАСТРОЙКИ:

    • Windows спросит вас, хотите ли вы быть доступным для обнаружения в этой сети. Щелкните НЕТ.
    • Каждый раз, когда вы будете включать эту виртуальную машину в будущем, вы должны обязательно менять ее MAC-адрес Ethernet перед каждой загрузкой. Вы можете сделать это в Virtualbox> Настройки> Сеть> Дополнительно> Нажмите кнопку обновления рядом с MAC-адресом. Вы можете сделать это только тогда, когда виртуальная машина выключена.

    Выберите браузер внутри виртуальной машины:​

    На этот раз мы порекомендуем браузер Brave
 

Виртуальная машина Android:


Потому что иногда вы также хотите анонимно запускать мобильные приложения. Вы также можете настроить виртуальную машину Android для этой цели. Как и в других случаях, в идеале эта виртуальная машина также должна находиться за шлюзом Whonix для подключения к сети Tor. Но это также можно настроить как VPN через Tor через VPN.

Если вы можете использовать Tor (исходно или через VPN):​

Позже в настройках ВМ во время создания зайдите в Network и выберите Internal Network, Whonix.

Затем на самом Android:

  • Выберите Wi-Fi
  • Выберите VirtWifi для подключения
  • Зайдите в расширенные свойства Wi-Fi
  • Переключиться с DHCP на статический
    • IP-адрес 10.152.152.50(увеличьте этот IP-адрес на единицу для любой другой ВМ)
    • Длина префикса подсети 18( 255.255.192.0)
    • Шлюз 10.152.152.10(это шлюз Whonix)
    • DNS 10.152.152.10(это снова Whonix Gateway)

Монтаж:​

Два варианта: AnBox или Android-x86.

Лично мы рекомендуем AnBox вместо Android-x86, но для этого требуется Linux.

ЯЩИК:​

В основном следуйте приведенному здесь руководству по установке AnBox на рабочую станцию Whonix: https://www.whonix.org/wiki/Anbox [Archive.org] для запуска приложений Android на виртуальной машине AnBox.

Или следуйте инструкциям здесь https://anbox.io/ для установки на любую другую виртуальную машину (только для Linux)

ANDROID-X86:​

В основном следуйте инструкциям здесь: https://www.android-x86.org/documentation/virtualbox.html [Archive.org]

  • Загрузите файл ISO по вашему выбору
  • Создайте новую виртуальную машину.
  • Выберите Linux и Linux 2.6/3.x/4.x 64 Bit.
  • В системе:
    • Выделите не менее 2048 МБ (2 ГБ) памяти
    • Снимите флажок с флоппи-дисковода
    • На вкладке «Процессор» выберите как минимум 1 или более процессоров.
    • Включить PAE/NX
  • В настройках дисплея измените адаптер на VBoxVGA.
  • В настройках звука выберите Intel HD Audio.
  • Запустите виртуальную машину
  • Выберите «Дополнительно», если вам нужна постоянная загрузка, «Живой», если вам нужна одноразовая загрузка (и пропустите следующие шаги).
  • Выберите автоматическую установку на выбранный жесткий диск
  • Выберите «Запустить Android».
  • Настройте как хотите (отключите все подсказки для сбора данных). Я рекомендую использовать TaskBar Home.
  • Зайдите в «Настройки», «Параметры Android-x86» и отключите все коллекции.
  • Подключитесь к сети Wi-Fi VirtWifi (см. раздел выше, если вы пользуетесь Whonix и хотите использовать Tor)
Теперь все готово, и теперь вы можете установить любое приложение для Android
 

Виртуальная машина macOS:

Да, вы действительно можете запустить macOS в Virtualbox (на хост-системах Windows/Linux/macOS), если хотите использовать macOS. Вы можете запустить любую версию macOS, которую захотите.

Если вы можете использовать Tor (исходно или через VPN):​

Во время следующих руководств, прежде чем запускать виртуальную машину macOS, убедитесь, что вы поместили виртуальные машины macOS в сеть Whonix.

  • Выберите виртуальную машину и нажмите «Настройки», перейдите на вкладку «Сеть».
  • Выберите «Внутренняя сеть» в поле «Присоединен к» и выберите Whonix.
После этого и во время установки вам нужно будет ввести IP-адрес вручную, чтобы подключиться через Whonix Gateway.

Используйте эти параметры при появлении запроса в процессе установки macOS:

  • IP-адрес 10.152.152.50(увеличьте этот IP-адрес на единицу для любой другой ВМ)
  • Длина префикса подсети 18( 255.255.192.0)
  • Шлюз 10.152.152.10(это шлюз Whonix)
  • DNS 10.152.152.10(это снова Whonix Gateway)

Монтаж:​

У запуска macOS на виртуальных машинах есть некоторые недостатки. Основной из них заключается в том, что у них нет серийного номера (по умолчанию 0), и вы не сможете войти в любой сервис, предоставляемый Apple (iCloud, iMessage…) без подлинного идентификатора. Вы можете установить такие идентификаторы с помощью этого скрипта: https://github.com/myspaghetti/macos-virtualbox [Archive.org] , но имейте в виду, что случайно сгенерированные идентификаторы не будут работать, а использование чужого идентификатора нарушит их Условия использования. Услуги и может считаться выдачей себя за другое лицо (и, следовательно, может быть незаконным).

Примечание. Мы также столкнулись с несколькими проблемами при их запуске на процессорах AMD. Это можно исправить, поэтому вот конфигурация, которую мы использовали, которая отлично работала с Catalina, Big Sur и Monterey, которая сообщит Virtualbox вместо этого эмулировать процессор Intel:

  • VBoxManage modifyvm "macOSCatalina" ---cpuidset 00000001 000106e5 00100800 0098e3fd bfebfbff
  • VBoxManage setextradata "macOSCatalina" "VBoxInternal/Devices/efi/0/Config/DmiSystemProduct" "MacBookPro15,1"
  • VBoxManage setextradata "macOSCatalina" "VBoxInternal/Devices/efi/0/Config/DmiBoardProduct" "Mac-551B86E5744E2388"
  • VBoxManage setextradata "macOSCatalina" "VBoxInternal/Devices/smc/0/Config/DeviceKey" "ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc"
  • VBoxManage setextradata "macOSCatalina" "VBoxInternal/Devices/smc/0/Config/GetKeyFromRealSMC" 1
  • VBoxManage modifyvm "macOSCatalina" --cpu-profile "Intel Core i7-6700K"
  • VBoxManage setextradata "macOSCatalina" VBoxInternal2/EfiGraphicsResolution 1920x1080

Выберите браузер внутри виртуальной машины:​

На этот раз мы порекомендуем браузер Brave
 

KeepassXC:​

Вам понадобится что-то для хранения ваших данных (логины/пароли, идентификационные данные и информация TOTP ).

Для этой цели мы настоятельно рекомендуем KeePassXC из-за встроенной функции TOTP. Это возможность создавать записи для аутентификации 2FA с функцией аутентификатора.

Помните, что в идеале это должно быть установлено на вашей гостевой виртуальной машине, а не на вашей хост-ОС. Вы никогда не должны выполнять какие-либо конфиденциальные действия из вашей ОС хоста.

Вот учебники:

Прежде чем переходить к следующему шагу, убедитесь, что KeePassXC работает.
 
Последнее редактирование:
Верх Низ