Контекст

Что имеем:
Информационные ресурсы освещают тему приватности однобоко, не делая различия между приватностью и компрометацией владельца.
Информация в литературе разрознена, четких руководств нет.
Использование индивидуальной компрометации владельца в современном мире вообще ставит под сомнение любые права и «свободы» личности. Решение проблемы комплексной индивидуальной системы защиты от компрометации финансово невыгодно, требует глубоких знаний и временных затрат.

Любой антивирусный «suite» или аналог как всегда «рекламирует» приватность, абсолютно забывая, что в случае преднамеренной компрометации и в дальнейшем при физическом попадании компьютера в «чужие» руки, их защита не выдержит «минимальных» способов извлечения целевой информации. Огромное количество программ, да и сама OS, оставляют следы своей деятельности на жестком диске, по которым косвенно можно судить о действиях владельца ПК. Кроме того существуют специально написанные трояны, которые будучи установленными через дыру в вашу OS не только будут сохранять ваши пароли, но и могут без вашего ведома сохранить на вашем же компьютере компрометирующие вас данные.

Решение проблемы

Суть решения — «заморозка» ОС и шифрование данных. Уточню момент — под «заморозкой» подразумевается, что чтение будет с жесткого диска, а запись в память.
Во-первых можно использовать специальные live cd. Удобства работы это конечно не прибавляет, в дополнение приходится решать вопрос: «где сохранять свои данные»?
Во-вторых можно грамотно настроить локальный компьютер самому.

Преднастройки windows системы


OS ставится с нуля, с минимальным доверенным набором приложений (чем меньше тем лучше).
Режим гибернации отключаем (hiberfil.sys). Гибернация и любая криптография и защита вещи вообще не совместимы.
Защита pagefile.sys и системного (или всего) диска от записи. На рынке множество решений по «заморозке», но большинство из них создают специальный контейнер на диске, т.е. все таки какие-то данные на диск попадают. Оптимальным решением будет свой написанный аналог защиты от записи на секторном уровне. Из уже имеющегося Enhanced Write Filter (EWF) . Менее оптимальным shadowdefender , но если система UEFI, то shadowdefender единственный вариант (обязательно смотрите настройки сохранения в память). Упомяну так же bcwipe — только функция шифрования файла подкачки. PS: Теоретически EWF и shadowdefender могут фильтровать запись в pagefile.sys — не проверял (для проверки подымите vmware с осью и проверьте чек сумму pagefile.sys между перегрузками). Так же чем больше памяти в компьютере, тем лучше и быстрее он будет работать — часть ее будет использована для кэширования записи
Создаем truecrypt контейнер для сохранения данных не на системном диске (не на том который защищен от записи)


Правила использования

Программы типа почты, баузера, мессенджеры и т.д. должны быть в portable версии и помещаться внутри truecrypt контейнера. Туда же все нужные документы.
При работе все что может быть сохранено на диск, должно сохранятся только в зашифрованный truecrypt контейнер или писаться в память (на диск попадать не должно).
Важно различать 2 режима работы: без подключенного truecrypt контейнера вы можете свободно заниматься «серфингом» web страниц, с подключенным — «серфить» можно только доверенные и запускать только доверенные приложения.
Нельзя, не перегрузившись, после серфинга небезопасных web страниц или запуска любых приложений (игр) подключать truecrypt контейнер.
Нельзя, не перегрузившись, после подключения и последующего отключения truecrypt контейнера заниматься серфингом небезопасных web страниц или запускать программы (игры).


PS: в статье рассматривается только локальная защита ПК, без рассмотрения сетевой защиты. За счет «заморозки» параллельно решается проблема антивирусной защиты, причем в большинстве случаем универсально. Однако нужно четко соблюдать правила использования. Например, если у вас хранятся закрытые ключи корневых сертификатов для подписи, то любые сетевые коммуникации отключаются еще до ввода пароля truecrypt контейнера.