Краткая памятка о противодействии форензике. Или о том, как правильно проводить "чистку" у себя для самых маленьких
Сегодня я решил затронуть довольно щепетильную тему, которую должен минимально знать любой человек, который беспокоится о своих данных. Это могут быть что обычные люди, друзья активистов и сами активисты, что бизнесмены... Список долго можно продолжать. Данная статья поможет вам не скомпрометировать свои данные, начиная с ситуаций с банальной кражей вором ваших устройств, заканчивая изъятием компьютера на экспертизу поневоле.
Для начала стоит определить все возможные источники компрометации, а это: телефоны, ноутбуки, компьютеры, плееры, электронные книжки, флешки, диски, бумажные носители и следы в интернете
Лайфхаки и общие рекомендации
- Проведите инвертаризацию своих устройств. Точно знай сколько у тебя телефонов, ноутбуков, флешек, дисков и т.д. Если вы храните бумажную информацию, заведите привычку хранить её в одном месте.
- Наипростейший способ уничтожить dvd/cd диски, SD карты и флешки - это закинуть их ненадолгое время в микроволновку. Если это флешка, то оторвать флеш память и кинуть её в микроволновку.
- Чеки с покупок и упаковки из интернет-магазинов - тоже носитель информации, по которой ваш мусор можно идентифицировать. Термоэтикетки и термобумага темнеет, если нагревать её зажигалкой
- Бумагу лучше уничтожать сжигая её в отведённых местах. Для компактности можешь порезать её на полоски, запихнуть в целофановый пакет и разом всё сжечь. Пепел потом разрыхлить палкой. Соблюдай технику безопасности.
- Всегда и везде обновляй операционную систему и программы до последних версий. Никогда не игнорируй обновления. В Gnu/Linux обновления выполнены довольно централизовано, что упрощает работу. Можно даже установить автоматическое обновление по таймеру
- Выстройте и продумайте свою линию безопасности. Какими методами вы будете скрывать информацию? Нет ли теоретических брешей в безопасности ради мнимого удобства? Хотите ли вы обеспечить возможность восстановить свои данные после начала кримналистического анализа? Если да, то не является ли это дырой в безопасности? Может ли обыск или иные факторы дать повод для шантажа вас? Можете ли вы кому-то доверять?
- Заведите за собой правило менять пароли. Да, паролей может быть много, но это плюс одна причина начать использовать менеджер паролей. Из облачных могу порекомендовать только Bitwarden, а из локальных KeePassXC
- Использование менеджера паролей правда способно дать преимущества. Мало того, что вы знаете все сервисы, которыми когда-либо пользовались, так ещё вы можете сделать так, что вы не знаете своих паролей вовсе. Например, начать использовать хардварные токены или файл-ключи. Даже после извлечения у вас пароля от менеджера паролей, он может не иметь смысла без специального файла. А как его запрятать или безопасно хранить, придумайте сами
- Лучше всегда шифровать, чем не шифровать
- Создайте себе график, когда вы будете заниматься "чисткой". Частоту выбирайте сами в зависимости от опасности.
- Корпорации - не твои бро. Всегда помни, что телефон с гуглом или айфон всегда сообщает о твоих посещениях на свои серверы. А эти серверы довольно часто выдают информацию государствам без судебного ордера. Не стоит так же забывать о необходимости работать с чистых браузеров или в режиме инкогнито во время безопасной работы, чтоб данные не смешивались в ком и компрометирующие данные нельзя было связать с вами
- А вот кто твои бро - это свободное программное обеспечение. Выкидывай, насколько это возможно, из своего обихода проприетарные программы. Смени браузер хотя-бы на Firefox, например. Крайне рекомендую начать изучать эту тему, если вы планируете заниматься активизмом
Общие проблемы, о которых стоит знать при заметании следов и работе за компьютером
Проблемы безвозратного уничтожения улик с носителей:
- Удаляя файлы стандартными методами операционной системы, вы не удаляете файл с компьютера. Файлы всё ещё можно легко восстановить. Если у вас жёсткий диск, то достаточно их удалить файлы с помощью Eraser(Windows) или wipe(Gnu/linux)
- С SSD дисками и флешками всё сложнее. Не существует универсальных способов удалить информацию. Но никогда не будет лишним перезаписать свободное пространство нулями с помощью Bleachbit(Кроссплатформа)
- Исходя из прошлого тезиса, не храните на SSD и флешках информацию в незашифрованном виде. Используйте для шифрования внешних носителей VeraCrypt(кроссплатформа) или Zulucrypt(Gnu/Linux)
- Если вы уверены, что можете быть под прицелом, то закупите новые носители, а старые уничтожьте или продайте человеку, которому доверяйте, предварительно затерев безопасным способом на них информацию с помощью ShredOS. Если вы не можете позволить себе новые носители, то уничтожьте информацию со старых помощью ShredOS, переустановите операционную систему(если это носители с ОС) и сразу же их полнодисково зашифруйте.
- DVD/CD диски с ненужной информацией смело можно уничтожать. Не стоит экономить на спичках. Потеря на 15-50 рублей не сделает тебя нищим, но при этом спасёт информацию от попадания в чужие руки
Проблемы цифровых следов:
- Что бы человек не делал за своими устройствами, на них всегда останутся цифровые следы. Лучший способ избегать этих цифровых следов - это использование виртуальных машин и их частая смена. Для анонимного сёрфинга имеет смысл запускать на виртуальной машине Tails или любой установленный в виртуалку Gnu/Linux дистрибутив, на который установлен TOR Browser(не забудьте во втором случае на виртуальную машину поставить полнодисковое шифрование).
- Метадата есть у многих файлов: Если с фото можно использовать очистители метадаты и растровые редакторы изображений для замазывания лишнего(GIMP, Krita), то с документами всё сложнее, ведь тот же Microsoft Office хранит в себе очень много информации о твоей системе, чтоб можно было идентифицировать компьютер, с которого писался текст. Именно поэтому советую тебе выкинуть на помойку продукты от Microsoft и начать использовать LibreOffice. Но опять же, какая-никакая метаинформация всё-равно будет в документе и поэтому лучшим решением будет развернуть очередную виртуалку с Gnu/Linux дистрибутивом и работать с документами с неё. Для серьёзных единичных документов можно использовать всё тот же Tails, сохраняя файл на флешке или безопасном облаке. Для остального пойдёт всё та же виртуалка с любым зашифрованным Gnu/Linux дистрибутивом
- Метадата существует не только у файлов. Каждый день, взаимодействуя с сетью, ты оставляешь за собой тонну информации. Имеет смысл поискать себя в интернете и попытаться удалить лишнюю информацию(но далеко не факт, что у вас это выйдет). Помни, что корпорации и интернет провайдеры могут знать на какие сайты вы заходите. Используйте проверенный VPN, TOR или прокси сервер при необходимости. Провайдер будет знать об использовании тобой этими инструментами, но не будет знать, что ты делаешь. Именно таким образом вычисляют людей методом тайминг атак, что тоже стоит всегда иметь в виду
- Дважды думай о том, что делаешь и пытайся предугадать риски. Да, работа замедлится, но если ты понимаешь, что компрометация может дорого обойтись, то надо обдумывать все риски.
- Так же цифровым следом является информация на серверах мессенджеров, почт. Даже если вы уверены в неподконтрольности компании к государству, безопасности проекта и отсутствии бэкдоров по заказу, то это не повод, что на ваши онлайн сервисы не попытаются залезть. Почисти старые компрометирующие сообщения. Установи таймеры самоуничтожения сообщений и/или заведи привычку железобетнно чистить свои мессенджеры.
- Дежурное напоминание о почтах: это первый сетевой ресурс, к которому будут пытаться получить доступ вне зависимости от всего. Используй надёжный пароль и OpenPGP для шифрования сообщений. Далеко не факт, что ваши сообщения будут представлять из себя полезную информацию, но доступ к почте может дать возможность зайти на другие сетевые ресурсы и скомпрометировать уже их. Или злоумышленник может начать общение с вашими подельниками от вашего имени
- Создавайте и удаляйте виртуальные машины, в которых вы работаете время от времени. Это ускоряет работу по уничтожению файлов. И вместо тщательной чистки файлов, вы сможете сделать резервную копию важных файлов, уничтожить виртуальную машину и создать новую, с которой вы продолжите работать. Это можно делать раз в пол года
ПК и ноутбуки: основные правила к ноутбукам и ПК
- Зашифруйте свой компьютер. Если у вас Windows, то используйте для полнодискового шифрования VeraCrypt, а не встроенный Bitlocker
- Если у вас Windows, рекомендую сменить операционную систему на Gnu/Linux дистрибутивы. Установщики операционной системы, как правило, сами предложат вам возможность установить полнодисковое шифрование, предварительно затерев полностью диск случайной информацией
- Сведите использование пиратских программ к минимуму. Если вам нужна какая-то программа, то аналог с открытым исходным кодом можно поискать на alternativeto.net
- Если вы всё-таки используете пиратское ПО, то проверьте его оффлайн антивирусом. Рекомендую для этого Kaspersky Rescue Disc. Делаете загрузочную флешку с этим образом, загружаетесь с флешки, скачиваете последние базы, отключаете интернет от компьютера и запускаете полнодисковое сканнирование ПК с пиратским софтом.
- Установите BleachBit(кроссплатформа) и посмотрите, что он предлагает вам удалить с ПК. Поставьте галочку на "Free disc space", чтоб после всех операций весь диск перезаписался случайной информацией, что сильно вставит палки в колёса вашим недругам. Мало того, что выбьете себе свободного места, так ещё и удалите информацию о том, что вы могли делать на компьютере и ноутбуке в целом
- Если есть предположение, что к вам могут применяться пытки, то советую изучить самостоятельно тему правдоподобного отрицания. Почему самостоятельно? Потому-что этот тот самый момент, где надо применить своё воображение, чтоб эффективно "спрятать пластиковое дерево в лесу" максимально оригинальным образом. Вариантов много. Можно даже как Элиот Алдерсон из Мистера Робота прятать шифрованные архивы в музыкальных файлах, а после прожечь болванку под видом диска с музыкой. Но имейте в виду: у вас изымут все носители информации, если вы интересны государству
Смартфоны
- Ваш телефон - крайне уязвимый девайс. Никогда не храните на нём ценную информацию. При необходимости хранить онную, используйте методы сокрытия информации. Android умеет скрывать приложения от лишних глаз и так же может работать с VeraCrypt и LUKS2 контернерами с помощью EDS Lite
- Ваш телефон всегда находится рядом с вами. Многие компании и операторы сотовой связи готовы поделиться вашим местоположением без судебного распоряжения. Особенно этот тренд заметен в тоталитарных странах.
- Если у вас есть возможность сменить прошивку на телефоне и отказаться от сервисов Google - делайте это смело. Если такой возможности нет, рекомендую на б//у поискать телефон, на который это всё можно установить. Советую изучить список устройств LineageOS во время выбора смартфона.
- Правилом хорошего тона считается иметь два телефона: личный и рабочий. Не ставьте на личный телефон приложения для работы и наоборот. Если такой возможности у вас нет, то создайте отдельные профили для работы и личных целей
- Включите полнодисковое шифрование на смартфоне в настройках безопасности
- Не используйте биометрию для разблокировки девайсов. Это крайне небезопасно, если ваш недруг не чурается бандитского криптоанализа, как это происходило во время протестов в Беларуси
- Телефон хранит информацию, очень грубо говоря, на SSD. Поэтому после удаления компрометирующих данных используй Extirpater для перезаписи свободного пространства
- ВЫКИНЬ НАХУЙ СВОЙ АЙФОН И КУПИ АНДРОИД СМАРТФОН! Силовые структуры тоталитарных стран обладают специальным ПО для форензики айфонов. Большинство из них способны обходить шифрование. Каждый айфон одинаков и найденая в нём уязвимость будет работать на практически всех айфонах, в то время как для аудита Android смартфона может понадобиться разный набор уязвимостей, который и не факт, что сработает
- Почаще перезагружай свой телефон. Большинство малвари для мобильных устройств сейчас любят висеть в оперативной памяти телефона, а не закрепляться полноценно в системе
- Даже не думай о пиратстве на смартфонах. Используй его только для связи через проверенные мессенджеры. Ни для чего больше. Для остального есть ноутбуки и возможность раздать себе интернет с телефона. А если хочется каких-то приложений, то всегда можно поиcкать что-то в F-Droid - магазине приложений, в котором только программы с открытым исходным кодом
- Ещё раз подумайте о необходимости использовать телефон. Возможно, хранить чаты будет безопаснее на ноутбуке
Бумажные носители:
- Не храни важную информацию на бумаге, если только нет иного способа хранения информации. Можно отсканировать документы у проверенных людей. Не ходи в всякие сервисы по сканированию и копированию бумаг
- Бумаги должны находиться в одном месте. Ведь наврятли у тебя будет много времени бегать и искать бумаги
- Проведи ревизию бумаг и уничтожай старые и ненужные бумаги. Помни: ваша задача: выдать как можно меньше информации
- Если вам нужны физические резервные копии бумаг, то сделайте копию у своих друзей и отдайте их на хранение в безопасное место. Не забывай, что по бумаге можно понять на каком принтере печатался документ
Надеюсь, статья будет вам полезна. Если это так, то буду благодарен, если поддержите меня монеткой