Ваши устройства принадлежат вам. Нужно только… / forpes.ru

Главная
Ваши устройства принадлежат вам. Нужно только…

Ваши устройства принадлежат вам. Нужно только…

16.11.2020 15:03

simplix 23 6500 Источник

Подходить с умом к выбору устройств и программному обеспечению на них

По мотивам "Ваш компьютер больше не принадлежит вам".

Варнинг: заметка пишется больше для технически не особо подкованных людей, хабр читают и они. Специалисты и так всё знают. Не у технарей другие профессии и увлечения, для них самый ценный ресурс (время) лучше потратить на интересные вещи, чем разбираться в тонкостях сборки ПО из исходников. У многих моих друзей и знакомых яблоки не потому что они имеют пониженный IQ, как это часто представляют себе IT-вундеркинды, а потому что они хорошо выполняют нужные им задачи и освобождают больше времени для личной жизни. Однако по моему мнению они недостаточно задумываются над тем, что их личные данные и эту самую личную жизнь мониторят корпорации и знают каждый их шаг, отговорки "да кому я нужен" и непонимание проблемы отсутствия приватности - обычное дело. Для корпораций люди чаще всего являются ресурсом, на котором можно заработать, а зная о человеке всё заработать можно максимально, навязывая ему предпочтения, товары и услуги. Я бы даже сказал, что среднестатистический потребитель по большей части состоит из навязанных ему приоритетов и продуктов, ведь сама культура потребления взрастила в нём жажду владения самым лучшим (по мнению маркетологов) и способствует некритическому взгляду на рынок, но это уже совсем другая история.

Если вы не технический специалист и особенно если пользуетесь яблочной продукцией, ответьте лично себе на вопрос - поставили бы вы у себя в туалете и душе камеры для публичной трансляции? А что тут такого, все органы у вас как у всех, ничего особенного в них нет, как и в ваших личных данных на устройствах, не так ли? Однако все ваши данные - контакты и переписки, фото и видео (в том числе интимные), записи разговоров и геолокация, поисковые запросы и многое другое доступны корпорациям, а устанавливать камеры всё же желания нет. Возможно, конечно, потому что это не iКамеры, но более вероятная причина в том, что вы не задумываетесь, какие ваши личные данные доступны корпорациям на закрученном со всех сторон устройстве (спойлер: все). Возможно после прочтения этой заметки у вас отложится мысль, что неплохо бы постепенно и с комфортом перейти на устройства без потери приватности, даже первое время пользуясь ими параллельно, а приятным бонусом будет осознание своего контроля над цифровой частью жизни и повышение уровня технической грамотности.

Выбор устройства

В первую очередь устройства не должны иметь известных проблем с безопасностью в аппаратной части. Например, не иметь технической возможности удалённого доступа на аппаратном уровне, а если она есть (IPMI, KVM, Intel AMT) - дополнительно регулироваться внешним брандмауэром, устанавливающим жёсткие ограничения на доступ определённых людей (с дополнительной авторизацией), с указанием определённых адресов, портов и протоколов по схеме "что явно не разрешено - запрещено", желательно с блокировкой неизвестного исходящего трафика.

Также желательно иметь гибко настраиваемый маршрутизатор, который принимает интернет от провайдера и раздаёт его на домашние устройства. Лучшим готовым решением считаю Mikrotik, но при желании и наличии времени можно повозиться с OpenWrt и его производными. Его настройка может быть сложнее обычного роутера, но и возможности ограничиваются только фантазией и техническими характеристиками. К примеру, можно завести несколько провайдеров и настроить автоматическое переключение между ними - всегда доступен интернет и загрузка торрентов с большей скоростью; можно создать несколько Wi-Fi сетей, чтобы гости получали интернет без доступа в вашу личную сеть и многое другое. Это может сделать нанятый специалист один раз и потом оно будет работать годами без вмешательства, Mikrotik может автоматически обновлять свою прошивку.

Далее устройства обязательно должны позволять установку альтернативной прошивки или модификации существующей. Для компьютеров это перезапись BIOS/UEFI и запуск другой или изменённой ОС, для смартфонов - разблокировка загрузчика и также возможность запуска альтернативной или модификации оригинальной ОС. От покупки устройств без этих возможностей лучше отказаться - какими бы елейными речами не пели маркетологи, хозяином на закрытом устройстве вы не будете, а они будут диктовать вам, что такое хорошо и что такое плохо.

Выбор операционной системы

Для компьютеров лучшим выбором по сохранению приватности являются открытые системы на основе Linux, например elementary OS, но с ними не исключена вероятность танца с бубном вокруг редких устройств; однако пробовать стоит, так как здесь всё зависит от задач, и возможно для ваших задач этого будет хватать с головой. Лучшим компромиссным решением будет Windows, сейчас подавляющее большинство персональных компьютеров создаются с учётом работы именно этой системы. Другими словами, когда железо рабочее - Windows будет работать отлично, для неё всегда будут драйвера и обновления, а сбор и отправку телеметрии можно отключить. Комментировать работу macOS не берусь, так как в теории там можно получить доступ к компонентам ОС и перекрыть каналы утечки личной информации, но философия Apple, для которой пользователи - бесправные дойные коровы, ставит крест на покупке такой продукции.

Для отключения сбора телеметрии в Windows есть готовые скрипты, однако не рекомендую применять их бездумно - так добавление доменов производителя в hosts или адресов в брандмауэр запросто может сделать нерабочими часть облачных сервисов. Лучше вдумчиво почитать описание каждой опции, задач в планировщике и соответствующих твиков, примером неплохой реализации является O&O ShutUp10. Для Windows 10 есть официальная программа Diagnostic Data Viewer, которая показывает, какие именно данные собираются и отправляются, если вы не отключили их сбор вообще.

При выборе смартфона следует в первую очередь смотреть на возможность разблокировки загрузчика. Заблокированное устройство на андроиде без доступа к системе ничем не отличается от яблочной продукции - оно точно так же может сливать информацию в зависимости от желания производителя. Поэтому для сохранения приватности яблочные смартфоны не подходят совсем, там нет возможности установить свою систему или хотя бы ограничить отправку данных у оригинальной, а из андроид-смартфонов подходят только те, которыми можно управлять - к счастью, таких большинство. Точную информацию перед покупкой можно узнать на профильных форумах типа 4pda, где собираются инструкции по разблокировке и прошивке конкретных устройств и обсуждаются все подводные камни.

Есть несколько способов подобрать систему для смартфона. Первый - модифицировать оригинальную прошивку. Оригинальная хороша тем, что гарантированно работает на конкретном телефоне и производитель её поддерживает. Все прошивки можно разобрать, исследовать, убрать вредное, добавить полезное и прошить в смартфон, получая таким образом стабильность от оригинальной прошивки и отсутствие анального зонда. К примеру для Xiaomi такие готовые прошивки выкладывают на xiaomi.eu, но при достаточном опыте их можно делать самостоятельно, так как это самый простой вид модификации. Второй способ - использовать универсальные GSI-прошивки, которые собраны из исходников (их можно проверить или собрать самостоятельно) и подходят для любых современных смартфонов начиная с Android 8. Это отличный вариант для недорогих китайских устройств, к которым производитель сделал прошивку "абы было", и даёт возможность пользоваться современным Android 10-11 почти без компромиссов. Почти, потому что в теории на каком-то безымянном аппарате что-то может не заработать, но всё это допиливается, особенно в ходовых моделях. И третий вариант - специализированные прошивки для обеспечения приватности, собранные специалистами для конкретных аппаратов, примером являются такие системы как GrapheneOS для серии Google Pixel или LineageOS для более широкого ряда моделей. Желательным, хотя и необязательным действием является получение root-прав - с ними будет возможность быстро настраивать систему, а без них можно систему заранее настроить и прошить.

Вместо итога

Разумеется это далеко не полный список возможностей и отражает только краткое личное мнение автора, но для начала достаточно. Тема безопасности очень широкая и охватить всё за раз никак нельзя. В стремлении обеспечить свою приватность можно зайти очень далеко (пример эталонной паранойи), но стоит ли это затраченного времени - каждый решает сам. Как по мне, нужно придерживаться золотой середины, когда ты можешь комфортно пользоваться устройствами, но при этом не являешься куклой вуду корпораций.

Комментарии (23)

xlarin
16.11.2020 18:27
#22312842
+2
Спасибо, очень полезные инструкции.
Как мануал, удобно делиться с людьми которые не придерживаются совем никаких мер безопасности в современном мире используя свои гаджеты.

lks1965
16.11.2020 19:31
#22313236
+1
Ну что же превосходнейшие советы для «технически не особо подкованных людей»…

Особенно мне понравился совет — «использовать универсальные GSI-прошивки, которые собраны из исходников (их можно проверить или собрать самостоятельно)» и «Желательным, хотя и необязательным действием является получение root-прав — с ними будет возможность быстро настраивать систему, а без них можно систему заранее настроить и прошить»

Статью распечатал и отдал теще (отправлять ей ссылку не очень полезно ибо она как тут сказано «технически не очень подкована» и не сумеет открыть, ну а на бумаге вполне прочтет — в свои 80 лет вполне себе читает
)…
1. simplix Автор
  16.11.2020 19:37
  #22313260
  GSI-прошивка представляет собой образ системного раздела, который записывается одной командой. Найти их можно в поисковике, здесь же не инструкция, а краткий обзор. Неопытные люди после прочтения могут попросить специалиста установить прошивку без слежки, делается это всего раз, часто обновлять не обязательно.
  1. sicambr
    17.11.2020 11:57
    #22315564
    Один специалист настроит микротик, другой винды, третий прошьёт смарт. Приватность.
1. podde
  16.11.2020 21:13
  #22313654
  Главное, что GSI-прошивки для неё не проблема :)
  P.S. Автор, пост действительно ориентирован на немножко всё-таки подкованных людей.
  1. simplix Автор
    17.11.2020 22:55
    #22314104
    Конечно, если пользователь с техникой на «да, мой господин», то сложности у него возникнут, тут без вариантов. Посыл в том, что он теперь знает — данные обильно собираются и этого можно избежать, обратившись к специалистам за несложной настройкой и придерживаясь несложных правил. Ходят легенды, что если пользователь при первой настройке айфона полностью прочитает лицензионное соглашение, тот просто взорвётся.
    
    podde
    17.11.2020 00:23
    #22314394
    Я системный администратор. Термин GSI-прошивка увидел впервые. Сильно задумался, нужен ли мне весь тот геморрой, который описан в посте под соусом "для технически не особо подкованных людей". Особенно когда пошли слова про "собраны из исходников", я понял, что автор неверно представляет себе глубину проблемы для других. Так что вынужден согласиться с lks1965 – подача материала в посте некорректная.
    
    simplix Автор
    17.11.2020 00:35
    #22314426
    Неужели не слышали про Project Treble? Исходники можно проверить и собрать самостоятельно, но это вовсе не обязательно, обычно так сильно не заморачиваются и используют готовые сборки проверенных опытных пользователей (пример), я в том числе. Вы просто не интересовались этой темой, ничего сложного там нет: fastboot flash system system.img и готово.
    
    dartraiden
    17.11.2020 05:00
    #22314708
    А вопрос с работой GooglePay предлагается решать выдачей такому далекому от технической части пользователю рута?
    
    Потому что без рута и Magisk работать это не будет.
    
    Только, пожалуйста без ответа типа "бесконтактная оплата не нужна". По условиям задачи предполагается, что владельцу аппарата она нужна.
    
    А ещё хотелось бы регулярных секурити-фиксов. Желательно автоматических. Потому что человек, далекий от технической части, забьет. Microsoft это со временем поняла...
    
    simplix Автор
    17.11.2020 10:59
    #22315304
    Ставьте GrapheneOS на Pixel и получите автоматические обновления без рута, а оплату с обновлениями может настроить специалист один раз, обновления оригинальных прошивок для Xiaomi выходят каждую неделю, вот только людям (тем более неопытным) нет смысла обновлять их так часто, раз в пару лет и того достаточно чтобы всё работало. Вы же понимаете, что производители специально усложняют жизнь пользователям, отнимая у них часть удобства после выхода из-под контроля, так что теперь, не пользоваться этой возможностью и забить на свою приватность? Прочитайте название статьи ещё раз, она о том, как владеть своим устройством. Если вы хотите, чтобы за ваши деньги устройством и дальше владел его производитель, а заодно частью вашей жизни — не делайте ничего.

CaerDarrow
17.11.2020 00:47
#22314440
отговорки «да кому я нужен» и непонимание проблемы отсутствия приватности — обычное дело
А в чем, собственно, проблема приватности то?

… зная о человеке всё заработать можно максимально, навязывая ему предпочтения, товары и услуги
Что критичного от знания этой инфы условным яблоком? Они хотя бы в удобный продукт ее переведут. Но сбор ими данных, он же вообще вторичен, самые важные данные до эппла уже собрали государство, работодатель, мобильный оператор и банк. Предлагается отказаться от гражданства, работы, номера и жить с наличными/битками?
1. dartraiden
  17.11.2020 05:11
  #22314716
  В комментариях к подобным постам обычно в изобилии встречаются адепты налички.
  
  Прлблема только в том, что безумно далеки они от народа:
  Расскажи такую сказку крепостному мужичку – хмыкнет с сомнением, утрет рукавом сопли да и пойдет, ни слова не говоря, только оглядываясь на доброго, трезвого, да только – эх, беда-то какая! – тронутого умом благородного дона.
  1. simplix Автор
    17.11.2020 10:56
    #22315290
    Ну да, благородный дон тронут, а необразованный крепостной мужик должен оставаться рабом и дальше, отличный пример.
1. simplix Автор
  17.11.2020 11:38
  #22315492
  Например, в яблоке по умолчанию включено автоматическое резервное копирование всего содержимого телефона на их серверы, там оно не зашифровано и доступно сотрудникам компании, а по запросу будет предоставлено и властям. Пользователь становится целью персонализированной рекламы по навязыванию услуг и товаров, объектом заработка. Такая эксплуатация в значительно большей степени отличается от сбора данных банком или государством, это добровольное рабство и находится в одном шаге от полностью публичной жизни, для Apple большинство пользователей находятся в шоу Трумана. Это не преувеличение, сейчас многие не понимают ценность свободы и отдают контроль за своей жизнью за яркие блестяшки.
  1. CaerDarrow
    17.11.2020 22:47
    #22318708
    Например, в яблоке по умолчанию включено автоматическое резервное копирование всего содержимого телефона на их серверы
    Ага, только на яблоке бэкап в облако, где по умолчанию доступно 5 гигов, а за остальное будь добр заплатить, иначе не бэкап, а кукиш. Или речь про какой-то хитрый недокуметированный бэкап?
    
    Пользователь становится целью персонализированной рекламы по навязыванию услуг и товаров, объектом заработка
    И что дальше то? Он же и так будет целью рекламы, только не персонализированной.

dartraiden
17.11.2020 04:45
#22314704
Мне из достоверного источника известно, что в Apple даже разработчикам операционной системы непросто получить доступ к собранной телеметрии. Нужно обосновать зачем, какой объём, а потом еще отчитаться перед командой, занимающейся вопросами приватности, как эти крохи использовались. И упаси бог, если ты там что-то не обезличил.

Пруфов не будет, простите. Лично не видел, я не работаю в Apple.

Но мысль о другом — хейтить Apple за телеметрию… да они просто ангелы божьи в сравнении с другими игроками на рынке. Но шишки летят именно в Apple, да ещё при этом зачасту в кучу мешаются кони и люди… то есть, телеметрия и меры безопасности (требование запускать только подписанные бинарники, вот это все)

Что касается людей, далёких от наших гиковских забав (которых технофашисты называют хомячками и домохозяйками)… поверьте, я пробовал объяснять, что, например, купить телефон Xiaomi, использовать прошивку MIUI и синхронизировать все свои данные через сервисы Xiaomi, это так себе идея. На что мне было сказано примерно следующее:
"Я смогу восстановить эти файлы, если с телефоном что-то случиться? Да? прекрасно, ты очень умненький :* можно я пойду займусь рукоделием?"
1. simplix Автор
  17.11.2020 11:49
  #22315544
  Ну я сразу написал:
  Заблокированное устройство на андроиде без доступа к системе ничем не отличается от яблочной продукции — оно точно так же может сливать информацию в зависимости от желания производителя.
  Команда по приватности может делать что угодно, но резервная копия всё равно будет передана по запросу, как может быть просмотрена и прочитана неизвестно кем, цифровой эксгибиционизм в чистом виде. Я согласен, что неопытным пользователям проще ничего не делать и раскрывать всю свою информацию, но так не должно быть, эта информация будет храниться вечно и составлять детальную карту жизни человека, что открывает недоступные раньше возможности для манипуляции.

smart_alex
17.11.2020 08:53
#22314932
Как по мне, нужно придерживаться золотой середины, когда ты можешь комфортно пользоваться устройствами, но при этом не являешься куклой вуду корпораций.

Представляю себе: подходишь к владельцу смартфона Apple и говоришь:

— Дружище, ты — кукла вуду, советую тебе прийти в себя и начать с того, чтобы поменять свой айфон хотя бы на рутованный Андроид.

Что-то подсказывает мне, что подобное предложение не вызовет энтузиазма у поклонников Apple. :)
1. simplix Автор
  17.11.2020 12:01
  #22315586
  Ну да, это то же самое, что сказать глубоко религиозному что он в секте и вызовет только негатив. А может человеку нравится там быть и он не хочет ничего менять, это запросто. Но говорить-то об этом надо, иначе свободы будет становиться всё меньше.
  1. smart_alex
    17.11.2020 12:20
    #22315690
    +1
    Но говорить-то об этом надо, иначе свободы будет становиться всё меньше.
    
    Я пока на друзьях экспериментирую :), результат — ноль. Если человек (добровольно) купил себе айфон, значит он вообще находится в другой плоскости и видит только внешнюю форму (красивый и технологичный телефон), но не осознаёт её суть — (цифровой) ошейник.

simplix Автор
17.11.2020 12:27
#22315726
Минутка забавной статистики:

Ваш компьютер больше не принадлежит вам
Посыл: приватность страдает, личное пространство нарушено. Реакция:

Эта статья — ответ на неё. Посыл: приватность можно вернуть. Реакция:

Комментарии — не, сложна, не будем ничего делать.

ifap
17.11.2020 19:10
#22317872
Для компьютеров лучшим выбором по сохранению приватности являются открытые системы на основе Linux

О, я как раз недавно создал багрепорт у Огнелиса: почему рекомендации, покет и прочий шлак у меня отключены, но все равно появляется одна рекомендация. По случайному совпадению, разумеется, на странице продукта главного спонсора этого замечательного опенсорсного сообщества. Пока вердикт болтается где-то между «не может такого быть» и «а не наблюдаете ли вы ее только, залезши на шкаф и заглянув в телескоп».

delvin-fil
19.11.2020 18:43
#22328152
-1
по сохранению приватности являются открытые системы на основе Linux, например elementary OS, но с ними не исключена вероятность танца с бубном вокруг редких устройств; однако пробовать стоит, так как здесь всё зависит от задач, и возможно для ваших задач этого будет хватать с головой. Лучшим компромиссным решением будет Windows

Вот здесь я остановился.
ТС не представляет себе настройку ядра вручную.
Там сейчас драйверов не менее виндовых.
НО! Даже не каждый гентушник(ДФСник) имеет представление о реальном железе, ибо genkernel.

Не, ну серьезно, dmesg полностью прочесть? Да ну нафик.