Veiligheid tegen computerforensics: Tails OS
Posted inCommunicatie Beveiliging Data Security

Veiligheid tegen computerforensics: Tails OS

No CommentsPosted inCommunicatie Beveiliging, Data Security

Tails OS (The Amnesic Incognito Live System) is ontworpen met een heel specifiek doel: het achterlaten van een zo klein mogelijke digitale voetafdruk op de computer die je gebruikt. Tegenover computerforensisch onderzoek is het een van de krachtigste tools die je kunt inzetten, mits je begrijpt hoe het werkt én wat de beperkingen zijn.
Hier is hoe Tails je beschermt tegen forensische analyse, waar de risico’s liggen en hoe je je veiligheid maximaliseert.

Hoe Tails beschermt tegen computerforensics

Computerforensisch onderzoek richt zich meestal op het doorzoeken van de harde schijf, het register, tijdelijke bestanden en de geschiedenis van een besturingssysteem. Tails neutraliseert deze aanpak op de volgende manieren:

  • Amnesic (Geheugenverlies): Tails draait volledig in het werkgeheugen (RAM) van de computer en raakt de harde schijf of SSD van de computer niet aan. Zodra je de computer uitzet of de USB-stick eruit trekt, stroomt het RAM-geheugen leeg en verdwijnen alle sporen (zoals geopende documenten, chatgeschiedenis en browserdata) definitief.
  • Geen sporen op de gastheer: Omdat Tails de interne schijf niet koppelt of beschrijft, kan een forensisch onderzoeker achteraf aan de computer zelf niet zien dat Tails erop heeft gedraaid.
  • Anti-forensische RAM-clearing: Bij het afsluiten overschrijft Tails het RAM-geheugen actief met nullen om te voorkomen dat data via een zogenaamde Cold Boot Attack (waarbij het RAM-geheugen direct na het uitschakelen bevroren en uitgelezen wordt) kan worden teruggehaald.
  • Anoniem netwerkverkeer: Al het internetverkeer wordt dwingend door het Tor-netwerk gestuurd. Forensisch onderzoek op netwerkniveau (bijvoorbeeld via je internetprovider) laat alleen zien dat je Tor gebruikte, niet wát je deed.

De forensische kwetsbaarheden (Waar Tails je niet tegen beschermt)

Hoewel Tails lokaal nagenoeg onfeilbaar is, zijn er scenario’s waarin forensisch onderzoekers alsnog grip op je kunnen krijgen:

1. De Persistent Storage (Permanente Opslag)

Als je de optie ‘Persistent Storage’ inschakelt op je Tails USB-stick om bestanden of instellingen te bewaren, worden deze opgeslagen op een gecodeerde partitie (LUKS).

  • Het forensische risico: De data is versleuteld, maar het bestaan van de data is zichtbaar. Als een opsporingsdienst de USB-stick fysiek in handen krijgt, zullen ze proberen de encryptie te kraken via brute-force of door je (al dan niet juridisch) te dwingen het wachtwoord af te staan.

2. Live forensisch onderzoek (Cold Boot & Hardware)

Als rechercheurs binnenvallen terwijl je computer aan staat en Tails actief is, is de lokale forensische beveiliging waardeloos.

  • Ze kunnen het RAM-geheugen direct uitlezen (via speciale hardware-tools).
  • Ze kunnen zien wat er op je scherm staat en direct interactie hebben met je openstaande sessies.

3. Netwerk- en browsergedrag (OPSEC)

Tails beschermt het besturingssysteem, maar niet jouw menselijke fouten (Operational Security of OPSEC).

  • Als je via Tails inloggt op je persoonlijke Facebook, bankrekening of Google-account, wordt die activiteit direct aan jouw identiteit gekoppeld. Forensisch onderzoekers kijken dan simpelweg naar de serverlogs van die diensten.
  • Het uploaden van documenten waar nog metadata in zit (zoals EXIF-data in foto’s of auteursnamen in Word-documenten) kan je identiteit verraden.

Gids voor maximale forensische veiligheid

Als je Tails gebruikt om forensische analyse te minimaliseren, houd je dan aan de volgende regels:

  1. Gebruik de noodknop (Emergency Shutdown): Wordt de situatie onveilig? Trek de Tails USB-stick direct uit de computer. Tails start direct een nood-afsluitprocedure waarbij het RAM-geheugen onmiddellijk wordt gewist en de pc uitschakelt.
  2. Beperk de Persistent Storage: Gebruik de permanente opslag alleen als het strikt noodzakelijk is. Kies een extreem lang en complex wachtwoord (passphrase) voor deze opslag. Als forensische experts de stick vinden, is het wachtwoord de enige barrière.
  3. Pas op met hardware-identificatie: Tails verandert standaard je MAC-adres (het unieke nummer van je netwerkkaart) zodat je niet te traceren bent via wifi-netwerken. Schakel deze MAC Spoofing nooit uit.
  4. Houd Tails up-to-date: Forensische software (en overheids-malware) maakt soms gebruik van ‘Zero-Days’ (onbekende lekken) in de Linux-kernel of de Tor Browser. Update Tails altijd direct als er een nieuwe versie is.
  5. Wis metadata: Tails bevat ingebouwde tools zoals de Metadata Clean Up Toolkit (MAT2). Haal elk bestand dat je wilt delen of opslaan eerst door deze tool om verborgen locatiedata, datums en gebruikersnamen te wissen.
    Ben je Tails aan het opzetten voor een specifiek doel, of wil je meer weten over het forensisch analaseren van USB-sticks in het algemeen?

Comments

No comments yet. Why don’t you start the discussion?

Leave a Reply

Your email address will not be published. Required fields are marked *