Анонимизируем Android
Безопасность и анонимность
от
0 руб / 1шт
0
XMR
Comodo Mobile Security - одно из самых функциональных и гибко настраиваемых приложений для бесплатной защиты мобильных устройств на базе Андроид.Кроме типичного набора антивирусных модулей,в нём есть такие дополнения,как менеджер трафика,показывающий в реальном времени всю сетевую активность всех активных приложений:в сотовых 3g 4g сетях и при подключении по Wifi.С правами администратора(Суперпользователя)В менеджере трафика есть возможность использовать простой программный фаервол(межсетевой экран).
Clean Master - удаление следов работы и Антивирус
History Eraser - ещё одна программа для удаления следов работы
Orbot - Tor для Android
ProxyDroid - настройка прокси на Android устройстве
Smart App Lock - защита приложений паролем,а также защита соединений (Блокировка подключений к интернету,работы с внешним USB-накопителем,исходящих телефонных вызовов)
SSH Tunnel Android - SSH туннелирование для Android
TunnelBear VPN - позволяет скрыть свой IP с помощью технологий VPN
TextSecure Private Messenger - мессенджер с защищенной перепиской
RedPhone Private Calls - мессенджер для защищенной переписки и интернет - телефонии
Cryptocat - сервис как для мобильного телефона,так и для ПК.У него есть собственные дополнения для браузеров Firefox,Chrome,Safari и Opera,предназначенная для быстрого доступа к чату.Чат предлагается групповой,причем можно устроить переписку с помощью сервера Cryptocat или же переместиться на другой сервер.
NoRoot Firewall - Фаервол без Root-прав
Viaprotect - приложение для проверки защищенности смартфона,контроля трафика,скачивать нужно с официального сайта разработчиков www.viaprotect.com
Shark - для профессионалов,рекомендую этот сниффер сетевого трафика.Сниффер записывает логи в формате .pcap и хранит их на Sd-card телефона.Файл с логами можно просмотреть на Windows,так и в самом телефоне,при помощи утилиты Shark Reader
CyanogenMod - кастомная прошивка с открытым исходным кодом,в отличии от других альтернативных прошивок,работает на большинстве устройств.Лично я советую использовать именно её,ниже прикреплю статью по одной из возможных сборок для анонимности на этой базе.
Программное обеспечение и инструкции можно найти на cyanogenmod.org
OmniROM - ответвление от проекта CyanogenMod,базируется на Android 4.4.Поддерживается некоторыми моделями Samsung,HTC,LG.Информацию по установке и ссылки на загрузки ищите на omnirom.org
Paranoid Android - даёт много возможностей настройки внешнего вида графического интерфейса пользователя.Официально работает примерно с 20 устройствами,неофициально - примерно с 60.Сайт разработчика aospa.co
SlimROMs - для пользователей,предпочитающих максимальную производительность всякому украшательству.Актуальные версии прошивок вместе с инструкциями по установке,ищите на slimroms.net
Смартфон под управлением Android и Cyanogenmod
Понятно, что бороться с утечками в смартфонах, основанных на проприетарных операционных системах, — занятие неблагодарное. Нет
открытых исходников — нет доказательств отсутствия скрытых закладок. Чтобы получить хоть сколько-нибудь анонимизированный смартфон, нам понадобится гугло-фон.И не просто гуглофон, а тот, для которого есть официальная версия последней прошивки CyanogenMod и открытые исходники ядра (стоковая прошивка или ядро Android-смартфона также могут содержать бэкдоры)
Когда эти требования будут выполнены, берем смартфон в руки, получаем root - права (как это сделать,можно найти в интернете) регистрируемся в Google play, устанавливаем приложение ROM Installer и прошиваем с его помощью CyanogenMod. Обязательно
отказываемся от установки Google Apps. Их придется принести в жертву великому богу конфиденциальности.После первой загрузки
CyanogenMod предложит зарегистрировать или подключить аккаунт CM, а также включить отправку анонимной статистики.Разумеется, от выполнения этих процедур, следует отказаться. Далее приступим к начальной настройке прошивки.Идем в настройки и отмечаем следующие пункты:
Беспроводные сети ==> Еще ==> NFC ==> Отключить.
Безопасность ==> Блокировка экрана ==> PIN-код.
Безопасность ==> Неизвестные источники.
Ничего особенного, стандартные опции. Потом нам следует обезопасить себя от утечек данных из предустановленных приложений и софта, который будет установлен позже. В CyanogenMod для этого есть механизм Privacy Guard, который занимается обфускацией личных данных пользователя,подсовывая вместо них рандомные данные: случайно сгенерированное имя юзера вместо реального,
случайные координаты и прочее. Чтобы его активировать, идем в Настройки Конфиденциальность - Защищенный режим и включаем опцию Защищенный режим по умолчанию.Теперь он будет активироваться для всех устанавливаемых приложений.Чтобы активировать Privacy Guard для стоковых приложений, нажимаем кнопку настроек сверху (три точки), отмечаем опцию «Системные приложения» и выбираем все приложения, кроме Trebuchet (это рабочий стол).По умолчанию Privacy Guard настроен таким образом, чтобы
спрашивать юзера каждый раз,когда приложение пытается получить доступ к личным данным.Разрешать это действие стоит только в том случае, если такие данные ему реально нужны (например, телефон пытается прочитать адресную книгу).
F-Droid,Tor и Брандмауер
Следующий шаг — установка F-Droid, Tor и настройка брандмауэра. Первый нам нужен по причине отсутствия Google play, а также любой его замены, которой мы могли бы доверять. В отличие от них, F-Droid содержит только открытый софт, что фактически дает гарантию безопасности софта. Приложений в репозитории F-Droid немногим больше 1100, но среди них есть практически все, что нужно, включая браузеры, твиттер-клиенты, рабочие столы, виджеты погоды и даже Telegram.Orbot — Tor для Android, в свою очередь, позволит нам оставаться анонимными при использовании Сети.Брандмауэр позволит заблокировать входящие соединения и перенаправить трафик всех установленных приложений в Orbot.
Сначала устанавливаем F-Droid. Для этого достаточно открыть сайт f-droid.org со смартфона и скачать последнюю версию клиента.Запускаем его, находим приложение Orbot и устанавливаем. Далее переходим на страницу droidwall.googlecode.com/files/droidwall-v1_5_7.apk со смартфона скачиваем APK-пакет и устанавливаем.
Теперь нам необходимо создать набор правил iptables для DroidWall (по умолчанию он умеет только включать/отключать доступ приложений к Сети).Можно было бы сделать это вручную, но ребята из проекта Tor уже все сделали за нас. Достаточно только скачать www.goo.gl/2JK9MQ, распаковать, подключить смартфон с помощью USB-кабеля и запустить инсталляционный скрипт
$ ./install-firewall.sh
Работает этот скрипт только в Linux и требует, чтобы был установлен developer.android.com/sdk/index.html , а на смартфоне активирован режим отладки (Настройки - О телефоне - Семь тапов по пункту "Номер сборки" - далее Настройки - Для разработчиков - Отладка по USB).
Что делает скрипт?
-Добавляет инициализационный скрипт, который блокирует на этапе загрузки системы все входящие и исходящие подключения (во избежание утечек).
-Устанавливает скрипт для DroidWall, позволяющий перенаправить все подключения в Tor (с применением нескольких воркараундов для известных багов Tor).
-Блокирует все подключения извне.
-Устанавливает три скрипта, открывающих доступ к Сети в обход Tor для стандартного браузера, ADB и LinPhone. Первый может понадобиться, если есть необходимость войти в captive portal в открытых WiFi-сетях, второй для возможности удаленной отладки, третий нужен приложению LinPhone,
реализующему SIP-клиент с зашифрованным каналом связи.
Когда все скрипты будут установлены, запускаем DroidWall, переходим в Меню - Еще - Установить сценарий и вводим в первом открывшемся поле строку . /data/local/firewall-torify-all.sh, нажимаем кнопку «ОК». Возвращаемся на главный экран и отмечаем
галочками приложения, которые должны получить доступ к Сети (Orbot можно не отмечать, он и так получит доступ благодаря скрипту).
Вновь открываем меню и выбираем пункт «Брандмауэр отключен», чтобы активировать файрвол.
Затем запускаем Orbot и следуем инструкциям, но ни в коем случае не включаем поддержку root; чтобы прописанные в скрипте правила работали правильно, Orbot должен работать в пространстве пользователя в режиме прокси. В конце нажимаем на кнопку в центре экрана, чтобы включить Tor.
В статусной строке появится иконка Tor, а это значит, что теперь все данные пойдут через него.
Остается открытым лишь один вопрос: как быть с бэкдорами в проприетарных компонентах и GSM-сетями. К моему большому сожалению, полностью защититься от данной угрозы пока невозможно: даже несмотря на присутствие SELinux, троян, зашитый в firmware, вполне может добыть доступ к данным в обход Android, принимая команды от злоумышленника путем GSM-команд. Впрочем, трафик, проходящий по сотовым сетям, таки будет защищен.
Заключение
Если вы помните, был такой фильм, «Джонни-мнемоник» с Киану Ривз в главной роли, рассказывающий о людях с имплантатами, которые могли переносить важные конфиденциальные данные. За такими людьми охотились не то что спецслужбы, а просто все, каждый хотел тот кусочек информации, который хранился в имплантате мнемоника. Их рвали на части и разрезали лесками, убивали, только для того, чтобы добыть секретную информацию. Сказка. Абсурд. Но почему-то уже такой знакомый.
развернуть
свернуть
Clean Master - удаление следов работы и Антивирус
History Eraser - ещё одна программа для удаления следов работы
Orbot - Tor для Android
ProxyDroid - настройка прокси на Android устройстве
Smart App Lock - защита приложений паролем,а также защита соединений (Блокировка подключений к интернету,работы с внешним USB-накопителем,исходящих телефонных вызовов)
SSH Tunnel Android - SSH туннелирование для Android
TunnelBear VPN - позволяет скрыть свой IP с помощью технологий VPN
TextSecure Private Messenger - мессенджер с защищенной перепиской
RedPhone Private Calls - мессенджер для защищенной переписки и интернет - телефонии
Cryptocat - сервис как для мобильного телефона,так и для ПК.У него есть собственные дополнения для браузеров Firefox,Chrome,Safari и Opera,предназначенная для быстрого доступа к чату.Чат предлагается групповой,причем можно устроить переписку с помощью сервера Cryptocat или же переместиться на другой сервер.
NoRoot Firewall - Фаервол без Root-прав
Viaprotect - приложение для проверки защищенности смартфона,контроля трафика,скачивать нужно с официального сайта разработчиков www.viaprotect.com
Shark - для профессионалов,рекомендую этот сниффер сетевого трафика.Сниффер записывает логи в формате .pcap и хранит их на Sd-card телефона.Файл с логами можно просмотреть на Windows,так и в самом телефоне,при помощи утилиты Shark Reader
CyanogenMod - кастомная прошивка с открытым исходным кодом,в отличии от других альтернативных прошивок,работает на большинстве устройств.Лично я советую использовать именно её,ниже прикреплю статью по одной из возможных сборок для анонимности на этой базе.
Программное обеспечение и инструкции можно найти на cyanogenmod.org
OmniROM - ответвление от проекта CyanogenMod,базируется на Android 4.4.Поддерживается некоторыми моделями Samsung,HTC,LG.Информацию по установке и ссылки на загрузки ищите на omnirom.org
Paranoid Android - даёт много возможностей настройки внешнего вида графического интерфейса пользователя.Официально работает примерно с 20 устройствами,неофициально - примерно с 60.Сайт разработчика aospa.co
SlimROMs - для пользователей,предпочитающих максимальную производительность всякому украшательству.Актуальные версии прошивок вместе с инструкциями по установке,ищите на slimroms.net
Смартфон под управлением Android и Cyanogenmod
Понятно, что бороться с утечками в смартфонах, основанных на проприетарных операционных системах, — занятие неблагодарное. Нет
открытых исходников — нет доказательств отсутствия скрытых закладок. Чтобы получить хоть сколько-нибудь анонимизированный смартфон, нам понадобится гугло-фон.И не просто гуглофон, а тот, для которого есть официальная версия последней прошивки CyanogenMod и открытые исходники ядра (стоковая прошивка или ядро Android-смартфона также могут содержать бэкдоры)
Когда эти требования будут выполнены, берем смартфон в руки, получаем root - права (как это сделать,можно найти в интернете) регистрируемся в Google play, устанавливаем приложение ROM Installer и прошиваем с его помощью CyanogenMod. Обязательно
отказываемся от установки Google Apps. Их придется принести в жертву великому богу конфиденциальности.После первой загрузки
CyanogenMod предложит зарегистрировать или подключить аккаунт CM, а также включить отправку анонимной статистики.Разумеется, от выполнения этих процедур, следует отказаться. Далее приступим к начальной настройке прошивки.Идем в настройки и отмечаем следующие пункты:
Беспроводные сети ==> Еще ==> NFC ==> Отключить.
Безопасность ==> Блокировка экрана ==> PIN-код.
Безопасность ==> Неизвестные источники.
Ничего особенного, стандартные опции. Потом нам следует обезопасить себя от утечек данных из предустановленных приложений и софта, который будет установлен позже. В CyanogenMod для этого есть механизм Privacy Guard, который занимается обфускацией личных данных пользователя,подсовывая вместо них рандомные данные: случайно сгенерированное имя юзера вместо реального,
случайные координаты и прочее. Чтобы его активировать, идем в Настройки Конфиденциальность - Защищенный режим и включаем опцию Защищенный режим по умолчанию.Теперь он будет активироваться для всех устанавливаемых приложений.Чтобы активировать Privacy Guard для стоковых приложений, нажимаем кнопку настроек сверху (три точки), отмечаем опцию «Системные приложения» и выбираем все приложения, кроме Trebuchet (это рабочий стол).По умолчанию Privacy Guard настроен таким образом, чтобы
спрашивать юзера каждый раз,когда приложение пытается получить доступ к личным данным.Разрешать это действие стоит только в том случае, если такие данные ему реально нужны (например, телефон пытается прочитать адресную книгу).
F-Droid,Tor и Брандмауер
Следующий шаг — установка F-Droid, Tor и настройка брандмауэра. Первый нам нужен по причине отсутствия Google play, а также любой его замены, которой мы могли бы доверять. В отличие от них, F-Droid содержит только открытый софт, что фактически дает гарантию безопасности софта. Приложений в репозитории F-Droid немногим больше 1100, но среди них есть практически все, что нужно, включая браузеры, твиттер-клиенты, рабочие столы, виджеты погоды и даже Telegram.Orbot — Tor для Android, в свою очередь, позволит нам оставаться анонимными при использовании Сети.Брандмауэр позволит заблокировать входящие соединения и перенаправить трафик всех установленных приложений в Orbot.
Сначала устанавливаем F-Droid. Для этого достаточно открыть сайт f-droid.org со смартфона и скачать последнюю версию клиента.Запускаем его, находим приложение Orbot и устанавливаем. Далее переходим на страницу droidwall.googlecode.com/files/droidwall-v1_5_7.apk со смартфона скачиваем APK-пакет и устанавливаем.
Теперь нам необходимо создать набор правил iptables для DroidWall (по умолчанию он умеет только включать/отключать доступ приложений к Сети).Можно было бы сделать это вручную, но ребята из проекта Tor уже все сделали за нас. Достаточно только скачать www.goo.gl/2JK9MQ, распаковать, подключить смартфон с помощью USB-кабеля и запустить инсталляционный скрипт
$ ./install-firewall.sh
Работает этот скрипт только в Linux и требует, чтобы был установлен developer.android.com/sdk/index.html , а на смартфоне активирован режим отладки (Настройки - О телефоне - Семь тапов по пункту "Номер сборки" - далее Настройки - Для разработчиков - Отладка по USB).
Что делает скрипт?
-Добавляет инициализационный скрипт, который блокирует на этапе загрузки системы все входящие и исходящие подключения (во избежание утечек).
-Устанавливает скрипт для DroidWall, позволяющий перенаправить все подключения в Tor (с применением нескольких воркараундов для известных багов Tor).
-Блокирует все подключения извне.
-Устанавливает три скрипта, открывающих доступ к Сети в обход Tor для стандартного браузера, ADB и LinPhone. Первый может понадобиться, если есть необходимость войти в captive portal в открытых WiFi-сетях, второй для возможности удаленной отладки, третий нужен приложению LinPhone,
реализующему SIP-клиент с зашифрованным каналом связи.
Когда все скрипты будут установлены, запускаем DroidWall, переходим в Меню - Еще - Установить сценарий и вводим в первом открывшемся поле строку . /data/local/firewall-torify-all.sh, нажимаем кнопку «ОК». Возвращаемся на главный экран и отмечаем
галочками приложения, которые должны получить доступ к Сети (Orbot можно не отмечать, он и так получит доступ благодаря скрипту).
Вновь открываем меню и выбираем пункт «Брандмауэр отключен», чтобы активировать файрвол.
Затем запускаем Orbot и следуем инструкциям, но ни в коем случае не включаем поддержку root; чтобы прописанные в скрипте правила работали правильно, Orbot должен работать в пространстве пользователя в режиме прокси. В конце нажимаем на кнопку в центре экрана, чтобы включить Tor.
В статусной строке появится иконка Tor, а это значит, что теперь все данные пойдут через него.
Остается открытым лишь один вопрос: как быть с бэкдорами в проприетарных компонентах и GSM-сетями. К моему большому сожалению, полностью защититься от данной угрозы пока невозможно: даже несмотря на присутствие SELinux, троян, зашитый в firmware, вполне может добыть доступ к данным в обход Android, принимая команды от злоумышленника путем GSM-команд. Впрочем, трафик, проходящий по сотовым сетям, таки будет защищен.
Заключение
Если вы помните, был такой фильм, «Джонни-мнемоник» с Киану Ривз в главной роли, рассказывающий о людях с имплантатами, которые могли переносить важные конфиденциальные данные. За такими людьми охотились не то что спецслужбы, а просто все, каждый хотел тот кусочек информации, который хранился в имплантате мнемоника. Их рвали на части и разрезали лесками, убивали, только для того, чтобы добыть секретную информацию. Сказка. Абсурд. Но почему-то уже такой знакомый.