Ваши устройства принадлежат вам. Нужно только…

    Подходить с умом к выбору устройств и программному обеспечению на них

    По мотивам "Ваш компьютер больше не принадлежит вам".

    Варнинг: заметка пишется больше для технически не особо подкованных людей, хабр читают и они. Специалисты и так всё знают. Не у технарей другие профессии и увлечения, для них самый ценный ресурс (время) лучше потратить на интересные вещи, чем разбираться в тонкостях сборки ПО из исходников. У многих моих друзей и знакомых яблоки не потому что они имеют пониженный IQ, как это часто представляют себе IT-вундеркинды, а потому что они хорошо выполняют нужные им задачи и освобождают больше времени для личной жизни. Однако по моему мнению они недостаточно задумываются над тем, что их личные данные и эту самую личную жизнь мониторят корпорации и знают каждый их шаг, отговорки "да кому я нужен" и непонимание проблемы отсутствия приватности - обычное дело. Для корпораций люди чаще всего являются ресурсом, на котором можно заработать, а зная о человеке всё заработать можно максимально, навязывая ему предпочтения, товары и услуги. Я бы даже сказал, что среднестатистический потребитель по большей части состоит из навязанных ему приоритетов и продуктов, ведь сама культура потребления взрастила в нём жажду владения самым лучшим (по мнению маркетологов) и способствует некритическому взгляду на рынок, но это уже совсем другая история.

    Если вы не технический специалист и особенно если пользуетесь яблочной продукцией, ответьте лично себе на вопрос - поставили бы вы у себя в туалете и душе камеры для публичной трансляции? А что тут такого, все органы у вас как у всех, ничего особенного в них нет, как и в ваших личных данных на устройствах, не так ли? Однако все ваши данные - контакты и переписки, фото и видео (в том числе интимные), записи разговоров и геолокация, поисковые запросы и многое другое доступны корпорациям, а устанавливать камеры всё же желания нет. Возможно, конечно, потому что это не iКамеры, но более вероятная причина в том, что вы не задумываетесь, какие ваши личные данные доступны корпорациям на закрученном со всех сторон устройстве (спойлер: все). Возможно после прочтения этой заметки у вас отложится мысль, что неплохо бы постепенно и с комфортом перейти на устройства без потери приватности, даже первое время пользуясь ими параллельно, а приятным бонусом будет осознание своего контроля над цифровой частью жизни и повышение уровня технической грамотности.

    Выбор устройства

    В первую очередь устройства не должны иметь известных проблем с безопасностью в аппаратной части. Например, не иметь технической возможности удалённого доступа на аппаратном уровне, а если она есть (IPMI, KVM, Intel AMT) - дополнительно регулироваться внешним брандмауэром, устанавливающим жёсткие ограничения на доступ определённых людей (с дополнительной авторизацией), с указанием определённых адресов, портов и протоколов по схеме "что явно не разрешено - запрещено", желательно с блокировкой неизвестного исходящего трафика.

    Также желательно иметь гибко настраиваемый маршрутизатор, который принимает интернет от провайдера и раздаёт его на домашние устройства. Лучшим готовым решением считаю Mikrotik, но при желании и наличии времени можно повозиться с OpenWrt и его производными. Его настройка может быть сложнее обычного роутера, но и возможности ограничиваются только фантазией и техническими характеристиками. К примеру, можно завести несколько провайдеров и настроить автоматическое переключение между ними - всегда доступен интернет и загрузка торрентов с большей скоростью; можно создать несколько Wi-Fi сетей, чтобы гости получали интернет без доступа в вашу личную сеть и многое другое. Это может сделать нанятый специалист один раз и потом оно будет работать годами без вмешательства, Mikrotik может автоматически обновлять свою прошивку.

    Далее устройства обязательно должны позволять установку альтернативной прошивки или модификации существующей. Для компьютеров это перезапись BIOS/UEFI и запуск другой или изменённой ОС, для смартфонов - разблокировка загрузчика и также возможность запуска альтернативной или модификации оригинальной ОС. От покупки устройств без этих возможностей лучше отказаться - какими бы елейными речами не пели маркетологи, хозяином на закрытом устройстве вы не будете, а они будут диктовать вам, что такое хорошо и что такое плохо.

    Выбор операционной системы

    Для компьютеров лучшим выбором по сохранению приватности являются открытые системы на основе Linux, например elementary OS, но с ними не исключена вероятность танца с бубном вокруг редких устройств; однако пробовать стоит, так как здесь всё зависит от задач, и возможно для ваших задач этого будет хватать с головой. Лучшим компромиссным решением будет Windows, сейчас подавляющее большинство персональных компьютеров создаются с учётом работы именно этой системы. Другими словами, когда железо рабочее - Windows будет работать отлично, для неё всегда будут драйвера и обновления, а сбор и отправку телеметрии можно отключить. Комментировать работу macOS не берусь, так как в теории там можно получить доступ к компонентам ОС и перекрыть каналы утечки личной информации, но философия Apple, для которой пользователи - бесправные дойные коровы, ставит крест на покупке такой продукции.

    Для отключения сбора телеметрии в Windows есть готовые скрипты, однако не рекомендую применять их бездумно - так добавление доменов производителя в hosts или адресов в брандмауэр запросто может сделать нерабочими часть облачных сервисов. Лучше вдумчиво почитать описание каждой опции, задач в планировщике и соответствующих твиков, примером неплохой реализации является O&O ShutUp10. Для Windows 10 есть официальная программа Diagnostic Data Viewer, которая показывает, какие именно данные собираются и отправляются, если вы не отключили их сбор вообще.

    При выборе смартфона следует в первую очередь смотреть на возможность разблокировки загрузчика. Заблокированное устройство на андроиде без доступа к системе ничем не отличается от яблочной продукции - оно точно так же может сливать информацию в зависимости от желания производителя. Поэтому для сохранения приватности яблочные смартфоны не подходят совсем, там нет возможности установить свою систему или хотя бы ограничить отправку данных у оригинальной, а из андроид-смартфонов подходят только те, которыми можно управлять - к счастью, таких большинство. Точную информацию перед покупкой можно узнать на профильных форумах типа 4pda, где собираются инструкции по разблокировке и прошивке конкретных устройств и обсуждаются все подводные камни.

    Есть несколько способов подобрать систему для смартфона. Первый - модифицировать оригинальную прошивку. Оригинальная хороша тем, что гарантированно работает на конкретном телефоне и производитель её поддерживает. Все прошивки можно разобрать, исследовать, убрать вредное, добавить полезное и прошить в смартфон, получая таким образом стабильность от оригинальной прошивки и отсутствие анального зонда. К примеру для Xiaomi такие готовые прошивки выкладывают на xiaomi.eu, но при достаточном опыте их можно делать самостоятельно, так как это самый простой вид модификации. Второй способ - использовать универсальные GSI-прошивки, которые собраны из исходников (их можно проверить или собрать самостоятельно) и подходят для любых современных смартфонов начиная с Android 8. Это отличный вариант для недорогих китайских устройств, к которым производитель сделал прошивку "абы было", и даёт возможность пользоваться современным Android 10-11 почти без компромиссов. Почти, потому что в теории на каком-то безымянном аппарате что-то может не заработать, но всё это допиливается, особенно в ходовых моделях. И третий вариант - специализированные прошивки для обеспечения приватности, собранные специалистами для конкретных аппаратов, примером являются такие системы как GrapheneOS для серии Google Pixel или LineageOS для более широкого ряда моделей. Желательным, хотя и необязательным действием является получение root-прав - с ними будет возможность быстро настраивать систему, а без них можно систему заранее настроить и прошить.

    Вместо итога

    Разумеется это далеко не полный список возможностей и отражает только краткое личное мнение автора, но для начала достаточно. Тема безопасности очень широкая и охватить всё за раз никак нельзя. В стремлении обеспечить свою приватность можно зайти очень далеко (пример эталонной паранойи), но стоит ли это затраченного времени - каждый решает сам. Как по мне, нужно придерживаться золотой середины, когда ты можешь комфортно пользоваться устройствами, но при этом не являешься куклой вуду корпораций.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 23

      +2

      Спасибо, очень полезные инструкции.
      Как мануал, удобно делиться с людьми которые не придерживаются совем никаких мер безопасности в современном мире используя свои гаджеты.

        +8
        Ну что же превосходнейшие советы для «технически не особо подкованных людей»

        Особенно мне понравился совет — «использовать универсальные GSI-прошивки, которые собраны из исходников (их можно проверить или собрать самостоятельно)» и «Желательным, хотя и необязательным действием является получение root-прав — с ними будет возможность быстро настраивать систему, а без них можно систему заранее настроить и прошить»

        Статью распечатал и отдал теще (отправлять ей ссылку не очень полезно ибо она как тут сказано «технически не очень подкована» и не сумеет открыть, ну а на бумаге вполне прочтет — в свои 80 лет вполне себе читает
        )…

          –2
          GSI-прошивка представляет собой образ системного раздела, который записывается одной командой. Найти их можно в поисковике, здесь же не инструкция, а краткий обзор. Неопытные люди после прочтения могут попросить специалиста установить прошивку без слежки, делается это всего раз, часто обновлять не обязательно.
            0

            Один специалист настроит микротик, другой винды, третий прошьёт смарт. Приватность.

            +2

            Главное, что GSI-прошивки для неё не проблема :)
            P.S. Автор, пост действительно ориентирован на немножко всё-таки подкованных людей.

              0
              Конечно, если пользователь с техникой на «да, мой господин», то сложности у него возникнут, тут без вариантов. Посыл в том, что он теперь знает — данные обильно собираются и этого можно избежать, обратившись к специалистам за несложной настройкой и придерживаясь несложных правил. Ходят легенды, что если пользователь при первой настройке айфона полностью прочитает лицензионное соглашение, тот просто взорвётся.
                +7

                Я системный администратор. Термин GSI-прошивка увидел впервые. Сильно задумался, нужен ли мне весь тот геморрой, который описан в посте под соусом "для технически не особо подкованных людей". Особенно когда пошли слова про "собраны из исходников", я понял, что автор неверно представляет себе глубину проблемы для других. Так что вынужден согласиться с lks1965 – подача материала в посте некорректная.

                  –1
                  Неужели не слышали про Project Treble? Исходники можно проверить и собрать самостоятельно, но это вовсе не обязательно, обычно так сильно не заморачиваются и используют готовые сборки проверенных опытных пользователей (пример), я в том числе. Вы просто не интересовались этой темой, ничего сложного там нет: fastboot flash system system.img и готово.
                    +2

                    А вопрос с работой GooglePay предлагается решать выдачей такому далекому от технической части пользователю рута?


                    Потому что без рута и Magisk работать это не будет.


                    Только, пожалуйста без ответа типа "бесконтактная оплата не нужна". По условиям задачи предполагается, что владельцу аппарата она нужна.


                    А ещё хотелось бы регулярных секурити-фиксов. Желательно автоматических. Потому что человек, далекий от технической части, забьет. Microsoft это со временем поняла...

                      0
                      Ставьте GrapheneOS на Pixel и получите автоматические обновления без рута, а оплату с обновлениями может настроить специалист один раз, обновления оригинальных прошивок для Xiaomi выходят каждую неделю, вот только людям (тем более неопытным) нет смысла обновлять их так часто, раз в пару лет и того достаточно чтобы всё работало. Вы же понимаете, что производители специально усложняют жизнь пользователям, отнимая у них часть удобства после выхода из-под контроля, так что теперь, не пользоваться этой возможностью и забить на свою приватность? Прочитайте название статьи ещё раз, она о том, как владеть своим устройством. Если вы хотите, чтобы за ваши деньги устройством и дальше владел его производитель, а заодно частью вашей жизни — не делайте ничего.
            +2
            отговорки «да кому я нужен» и непонимание проблемы отсутствия приватности — обычное дело
            А в чем, собственно, проблема приватности то?
            … зная о человеке всё заработать можно максимально, навязывая ему предпочтения, товары и услуги
            Что критичного от знания этой инфы условным яблоком? Они хотя бы в удобный продукт ее переведут. Но сбор ими данных, он же вообще вторичен, самые важные данные до эппла уже собрали государство, работодатель, мобильный оператор и банк. Предлагается отказаться от гражданства, работы, номера и жить с наличными/битками?
              +2

              В комментариях к подобным постам обычно в изобилии встречаются адепты налички.


              Прлблема только в том, что безумно далеки они от народа:

              Расскажи такую сказку крепостному мужичку – хмыкнет с сомнением, утрет рукавом сопли да и пойдет, ни слова не говоря, только оглядываясь на доброго, трезвого, да только – эх, беда-то какая! – тронутого умом благородного дона.
                0
                Ну да, благородный дон тронут, а необразованный крепостной мужик должен оставаться рабом и дальше, отличный пример.
                0
                Например, в яблоке по умолчанию включено автоматическое резервное копирование всего содержимого телефона на их серверы, там оно не зашифровано и доступно сотрудникам компании, а по запросу будет предоставлено и властям. Пользователь становится целью персонализированной рекламы по навязыванию услуг и товаров, объектом заработка. Такая эксплуатация в значительно большей степени отличается от сбора данных банком или государством, это добровольное рабство и находится в одном шаге от полностью публичной жизни, для Apple большинство пользователей находятся в шоу Трумана. Это не преувеличение, сейчас многие не понимают ценность свободы и отдают контроль за своей жизнью за яркие блестяшки.
                  0
                  Например, в яблоке по умолчанию включено автоматическое резервное копирование всего содержимого телефона на их серверы
                  Ага, только на яблоке бэкап в облако, где по умолчанию доступно 5 гигов, а за остальное будь добр заплатить, иначе не бэкап, а кукиш. Или речь про какой-то хитрый недокуметированный бэкап?
                  Пользователь становится целью персонализированной рекламы по навязыванию услуг и товаров, объектом заработка
                  И что дальше то? Он же и так будет целью рекламы, только не персонализированной.
                +1

                Мне из достоверного источника известно, что в Apple даже разработчикам операционной системы непросто получить доступ к собранной телеметрии. Нужно обосновать зачем, какой объём, а потом еще отчитаться перед командой, занимающейся вопросами приватности, как эти крохи использовались. И упаси бог, если ты там что-то не обезличил.


                Пруфов не будет, простите. Лично не видел, я не работаю в Apple.


                Но мысль о другом — хейтить Apple за телеметрию… да они просто ангелы божьи в сравнении с другими игроками на рынке. Но шишки летят именно в Apple, да ещё при этом зачасту в кучу мешаются кони и люди… то есть, телеметрия и меры безопасности (требование запускать только подписанные бинарники, вот это все)


                Что касается людей, далёких от наших гиковских забав (которых технофашисты называют хомячками и домохозяйками)… поверьте, я пробовал объяснять, что, например, купить телефон Xiaomi, использовать прошивку MIUI и синхронизировать все свои данные через сервисы Xiaomi, это так себе идея. На что мне было сказано примерно следующее:
                "Я смогу восстановить эти файлы, если с телефоном что-то случиться? Да? прекрасно, ты очень умненький :* можно я пойду займусь рукоделием?"

                  +1
                  Ну я сразу написал:
                  Заблокированное устройство на андроиде без доступа к системе ничем не отличается от яблочной продукции — оно точно так же может сливать информацию в зависимости от желания производителя.
                  Команда по приватности может делать что угодно, но резервная копия всё равно будет передана по запросу, как может быть просмотрена и прочитана неизвестно кем, цифровой эксгибиционизм в чистом виде. Я согласен, что неопытным пользователям проще ничего не делать и раскрывать всю свою информацию, но так не должно быть, эта информация будет храниться вечно и составлять детальную карту жизни человека, что открывает недоступные раньше возможности для манипуляции.
                  0
                  Как по мне, нужно придерживаться золотой середины, когда ты можешь комфортно пользоваться устройствами, но при этом не являешься куклой вуду корпораций.

                  Представляю себе: подходишь к владельцу смартфона Apple и говоришь:

                  — Дружище, ты — кукла вуду, советую тебе прийти в себя и начать с того, чтобы поменять свой айфон хотя бы на рутованный Андроид.

                  Что-то подсказывает мне, что подобное предложение не вызовет энтузиазма у поклонников Apple. :)
                    0
                    Ну да, это то же самое, что сказать глубоко религиозному что он в секте и вызовет только негатив. А может человеку нравится там быть и он не хочет ничего менять, это запросто. Но говорить-то об этом надо, иначе свободы будет становиться всё меньше.
                      0
                      Но говорить-то об этом надо, иначе свободы будет становиться всё меньше.

                      Я пока на друзьях экспериментирую :), результат — ноль. Если человек (добровольно) купил себе айфон, значит он вообще находится в другой плоскости и видит только внешнюю форму (красивый и технологичный телефон), но не осознаёт её суть — (цифровой) ошейник.
                    –1
                    Минутка забавной статистики:

                    Ваш компьютер больше не принадлежит вам
                    Посыл: приватность страдает, личное пространство нарушено. Реакция:


                    Эта статья — ответ на неё. Посыл: приватность можно вернуть. Реакция:

                    Комментарии — не, сложна, не будем ничего делать.
                      0
                      Для компьютеров лучшим выбором по сохранению приватности являются открытые системы на основе Linux

                      О, я как раз недавно создал багрепорт у Огнелиса: почему рекомендации, покет и прочий шлак у меня отключены, но все равно появляется одна рекомендация. По случайному совпадению, разумеется, на странице продукта главного спонсора этого замечательного опенсорсного сообщества. Пока вердикт болтается где-то между «не может такого быть» и «а не наблюдаете ли вы ее только, залезши на шкаф и заглянув в телескоп».
                        –1
                        по сохранению приватности являются открытые системы на основе Linux, например elementary OS, но с ними не исключена вероятность танца с бубном вокруг редких устройств; однако пробовать стоит, так как здесь всё зависит от задач, и возможно для ваших задач этого будет хватать с головой. Лучшим компромиссным решением будет Windows

                        Вот здесь я остановился.
                        ТС не представляет себе настройку ядра вручную.
                        Там сейчас драйверов не менее виндовых.
                        НО! Даже не каждый гентушник(ДФСник) имеет представление о реальном железе, ибо genkernel.

                        Не, ну серьезно, dmesg полностью прочесть? Да ну нафик.

                        Only users with full accounts can post comments. Log in, please.