Краткая памятка о противодействии форензике. Или о том, как правильно проводить "чистку" у себя для самых маленьких
Сегодня я решил затронуть довольно щепетильную тему, которую должен минимально знать любой человек, который беспокоится о своих данных. Данная статья поможет вам не скомпрометировать данные начиная от банальной кражи вором ваших устройств, заканчивая изъятием компьютера на экспертизу поневоле. Порой за помощью экспертов способны обратиться даже чьи-то ревнивые супруги, что крайне подло.
Для начала стоит определить все возможные источники компрометации, а это: телефоны, ноутбуки, компьютеры, плееры, электронные книжки, флешки, диски, бумажные носители и следы в интернете
Общие правила:
- Проведите инвертаризацию своих устройств. Точно знай сколько у тебя телефонов, ноутбуков, флешек, дисков и т.д. Если вы храните бумажную информацию, заведите привычку их хранить в одном месте.
- Наипростейший способ уничтожить dvd/cd диски, SD карты и флешки - это закинуть их ненадолгое время в микроволновку. Если это флешка, то оторвать флеш память и кинуть её в микроволновку.
- Чеки с покупок и упаковки из интернет-магазинов - тоже носитель информации, по которой ваш мусор можно идентифицировать. Термоэтикетки и термобумага темнеет, если нагревать её зажигалкой
- Бумагу лучше уничтожать сжигая её в отведённых местах. Для компактности можешь порезать её на полоски, запихнуть в целофановый пакет и разом его сжечь. Пепел потом разрыхлить палкой. Соблюдай технику безопасности. Для не самых компрометирующих документов можно обойтись только шредером, они недорого стоят сейчас
- Всегда и везде обновляй операционную систему и программы до последних версий. Никогда не игнорируй обновления. В Gnu/Linux обновления выполнены довольно централизовано, что упрощает работу. Можно даже установить автоматическое обновление по таймеру
- Выстройте и продумайте свою линию безопасности. Какими методами вы будете скрывать информацию? Нет ли теоретических брешей в безопасности ради мнимого удобства? Хотите ли вы обеспечить возможность восстановить свои данные после начала кримналистического анализа? Если да, то не является ли это дырой в безопасности? Может ли обыск или иные факторы дать повод для шантажа вас? Можете ли вы кому-то доверять?
- Заведите за собой правило менять пароли хотя-бы раз в пол года. Данные с чужих серверов имеют свойство утекать в сеть или передаваться третьим лицам в частном порядке. Да, паролей может быть много, но это плюс одна причина начать использовать менеджер паролей. Из облачных могу порекомендовать... в связи с последними новостями опенсорса - ничего, а из локальных KeePassXC
- Использование менеджера паролей правда способно дать преимущества. Мало того, что вы знаете все сервисы, которыми когда-либо пользовались, так ещё вы можете сделать так, что вы не знаете своих паролей вовсе. Например, начать использовать хардварные токены или файл-ключи. Даже после извлечения у вас пароля от менеджера паролей, он может не иметь смысла без специального файла. А как его запрятать или безопасно хранить, придумайте сами
Общие проблемы, о которых стоит знать при заметании следов и работе за компьютером
Проблемы безвозратного уничтожения улик с носителей:
- Удаляя файлы через корзину, вы не удаляете файл с компьютера. Файлы всё ещё можно легко восстановить. Если у вас жёсткий диск, то достаточно удалить файлы с помощью Eraser(Windows) или wipe(Gnu/linux)
- С SSD дисками и флешками всё сложнее. Не существует универсальных способов удалить информацию, ведь не все твердотельные накопители обладают технологией TRIM/Secure Erase. Но никогда не будет лишним перезаписать всё свободное пространство нулями с помощью Bleachbit(Кроссплатформа).
- Исходя из прошлого тезиса, не храните на SSD и флешках информацию в незашифрованном виде. Используйте для шифрования внешних носителей VeraCrypt(кроссплатформа) или Zulucrypt(Gnu/Linux)
- Если вы уверены, что можете быть под ударом, то закупите новые носители, а старые уничтожьте или продайте человеку, которому доверяйте, предварительно затерев безопасным способом на них информацию с помощью ShredOS . Если вы не можете позволить себе новые носители, то уничтожьте информацию со старых помощью ShredOS, переустановите операционную систему(если это носители с ОС) и сразу же их полнодисково зашифруйте.
Проблемы цифровых следов:
- Что бы человек не делал за своими устройствами, у него всегда останутся на устройстве цифровые следы. Лучший способ избегать этих цифровых следов - это оставлять их в минимальном количестве. Используйте для сёрфинга в интернете приватную вкладку браузера, не храните лишние переписки на устройстве.
- Метадата есть у многих файлов: Если с фото можно использовать очистители метадаты и растровые редакторы изображений, то с документами всё сложнее, ведь тот же Microsoft Office хранит в себе очень много информации о твоей системе, чтоб можно было идентифицировать компьютер, с которого писался текст. Именно поэтому советую тебе выкинуть на помойку продукты от Microsoft и начать использовать LibreOffice. Но опять же, какая-никакая мета всё-равно будет в документе и для серьёзных единичных документов можно использовать всё тот же Tails, сохраняя файл на флешке или безопасном облаке. Для остального пойдёт компьютер с зашифрованным Gnu/Linux дистрибутивом и последующая очистка системы с помощью утилит, которые будут упоминаться ниже
- Метадата существует не только у файлов. Каждый день, взаимодействуя с сетью, ты оставляешь за собой тонну информации. Имеет смысл поискать себя в интернете и попытаться удалить лишнюю информацию. Помни, что корпорации и интернет провайдеры могут знать на какие сайты вы заходите. Используйте проверенный VPN, TOR или прокси сервер при необходимости. Помни, что провайдер будет знать об использовании тобой этими инструментами, но не будет знать, что ты делаешь. Именно таким образом вычисляют людей методом тайминг атак
- Дважды думай о том, что делаешь и пытайся предугадать риски. Да, работа замедлится, но если ты понимаешь, что компрометация может дорого обойтись, то надо обдумывать все риски.
- Так же цифровым следом является информация на серверах мессенджеров, почт. Даже если вы уверены в неподконтрольности компании к государству, безопасности проекта и отсутствии бэкдоров по заказу, то это не повод, что на ваши онлайн сервисы не попытаются залезть. Почисти старые компрометирующие сообщения. Установи таймеры самоуничтожения сообщений и/или заведи привычку железобетнно чистить свои мессенджеры.
- Дежурное напоминание о почтах: это первый сетевой ресурс, к которому будут пытаться получить доступ вне зависимости от всего. Используй надёжный пароль и OpenPGP для шифрования сообщений. Далеко не факт, что ваши сообщения будут представлять из себя полезную информацию, но доступ к почте может дать возможность зайти на другие сетевые ресурсы и скомпрометировать уже их. Или можно начать общение с вашими друзьями от вашего имени
ПК и ноутбуки:
Основные правила к ноутбукам и ПК
- Зашифруйте свой компьютер. Если у вас Windows, то используйте для полнодискового шифрования VeraCrypt, а не встроенный Bitlocker
- Если у вас Windows, рекомендую сменить операционную систему на Gnu/Linux дистрибутивы. Установщики операционной системы, как правило, сами предложат вам возможность установить полнодисковое шифрование, предварительно затерев полностью диск случайной информацией
- Сведите использование пиратских программ к минимуму. Если вам нужна какая-то программа, то аналог с открытым исходным кодом можно поискать на alternativeto.net
- Если вы всё-таки используете пиратское ПО, то проверьте его оффлайн антивирусом. Рекомендую для этого Kaspersky Rescue Disc . Делаете загрузочную флешку с этим образом, загружаетесь с флешки, скачиваете последние базы, отключаете интернет от компьютера и запускаете полнодисковое сканнирование ПК с пиратским софтом.
- Установите BleachBit(кроссплатформа) и посмотрите, что он предлагает вам удалить с ПК. Поставьте галочку на "Free disc space", чтоб после всех операций весь диск перезаписался случайной информацией, что сильно вставит палки в колёса вашим недругам. Мало того, что выбьете себе свободного места, так ещё и удалите информацию о том, что вы могли делать на компьютере и ноутбуке в целом
- Если есть предположения, что к вам могут применяться пытки, то советую изучить самостоятельно тему правдоподобного отрицания. Почему самостоятельно? Потому-что этот тот самый момент, где надо применить своё воображение, чтоб "спрятать дерево в лесу". Вариантов много. Можно даже как Элиот Алдерсон из Мистера Робота прятать критическую инфу в дисках, предварительно зашифровав архив данных. Но имейте в виду: у вас изымут все носители информации, если вы интересны государству
Телефоны:
- Ваш телефон - крайне уязвимый девайс. Никогда не храните на нём ценную информацию. При необходимости хранить онную, используйте методы сокрытия информации. Android умеет скрывать приложения от лишних глаз и так же может работать с VeraCrypt и LUKS2 контернерами с помощью EDS Lite
- Ваш телефон всегда находится рядом с вами. Многие компании и операторы сотовой связи готовы поделиться вашим местоположением без судебного распоряжения. Особенно этот тренд заметен в тоталитарных странах.
- Если у вас есть возможность сменить прошивку на телефоне и отказаться от сервисов Google - делайте это смело. Если такой возможности нет, рекомендую на б//у поискать телефон, на который это всё можно установить. Советую изучить список устройств у LineageOS во время выбора смартфона.
- Правилом хорошего тона считается иметь два телефона: личный и рабочий. Не ставьте на личный телефон приложения для работы. Если такой возможности у вас нет, то создайте отдельные профили для работы и личных целей. В последние версии Android добавили private space, который позволяет скрыть факт наличия у тебя определённого софта. Кстати, это хороший способ создать двойное дно, что может помочь при осмотре телефона полицией.
- Включите полнодисковое шифрование на смартфоне в настройках безопасности.
- Не используйте биометрию для разблокировки девайсов. Это крайне небезопасно, если ваш недруг не чурается бандитского криптоанализа, как это происходило во время протестов в Беларуси
- Телефон хранит информацию, очень грубо говоря, на SSD. Поэтому после удалия компрометирующих данных используй Extirpater для перезаписи свободного пространства
- ВЫКИНЬ НАХУЙ СВОЙ АЙФОН И КУПИ АНДРОИД СМАРТФОН! Силовые структуры тоталитарных стран обладают специальным ПО для форензики айфонов. Большинство из них способны обходить шифрование. Каждый айфон одинаков и найденая в нём уязвимость будет работать на практически всех айфонах, в то время как для аудита Android смартфона может понадобиться разный набор уязвимостей, который и не факт, что сработает
- Почаще перезагружай свой телефон. Большинство малвари для мобильных устройств сейчас любят висеть в оперативной памяти телефона, а не закрепляться полноценно в системе
- Даже не думай о пиратстве на смартфонах. Используй его только для связи через проверенные мессенджеры. Ни для чего больше. Для остального есть ноутбуки и возможность раздать себе интернет с телефона
- Ещё раз подумайте о необходимости использовать телефон. Возможно, хранить чаты будет безопаснее на ноутбуке
Бумажные носители:
- Не храни важную информацию на бумаге, если только нет иного способа хранения информации.
- Не ходи в всякие сервисы по сканнированию и копированию бумаг. Делай это у друзей, либо возми с рук МФУ
- Бумаги должны находиться в одном месте. Ведь наврятли у тебя будет много времени бегать и искать бумаги в случае чего-либо
- Проведи ревизию бумаг и уничтожай старые и ненужные бумаги. Помни: ваша задача: выдать как можно меньше информации
- Если вам нужны физические резервные копии бумаг, то сделайте копию у своих друзей и отдайте их на хранение в безопасное место. Не забывай, что по бумаге можно понять на каком принтере печатался документ
Надеюсь, статья будет вам полезна. Если это так, то буду благодарен, если поддержите меня монеткой