GrapheneOS, часть первая
Введение

GrapheneOS — это мобильная операционная система, ориентированная на конфиденциальность и безопасность, совместимая с приложениями Android, разработанная как некоммерческий проект с открытым исходным кодом. Она сосредоточена на исследовании и разработке технологий конфиденциальности и безопасности, включая значительные улучшения в области изоляции, смягчения уязвимостей и модели разрешений. Она была основана в 2014 году и ранее была известна как CopperheadOS.

Возможно одна из самый безопасных Android прошивок, из существующих на данный момент. Работает исключительно на смартфонах линейки Google Pixel, в компонентах которого есть сопроцессор безопасности Titan M2.

Основные функции и возможности

В GrapheneOS добавлено много функционала помогающего добиться большей безопасности. К примеру автоматическая перезагрузка устройства, помогающая стереть из ОЗУ ключи шифрования, Storage Scopes, Contact Scopes, разрешения на доступ к сети и т.д.

Подробнее можно почитать в отдельной статье на Хабре

Некоротые приложения из GrapheneOS можно установить на любой прошивке, например приложение камеры, которое не сохраняет EXIF данных и работает без доступа к геолокации, файлам и микрофону (если не нужен звук). Или приложение для просмотра PDF не требующая разрешений.

Официальный сайт прошивки: https://grapheneos.org/

#Security #Android #ROM #Pixel #GrapheneOS

Сегодня у всех вокруг какая-то "соцсеть головного мозга" и ни одной ясной головы. Регулярно то тут, то там раздается плач ярославны о том, что "корпорации добра" делают с пользователями, что им вздумается: следят за ними, требуют все больше данных о себе, вплоть до паспортов, банят навечно по желанию левой пятки, что негоже от них зависеть, необходима децентрализация. А в качестве выхода, конечно, предлагается обратить внимание на проекты децентрализованных/федеративных соцсетей вроде mastodon, plume и тому подобные.

Так вот, все это полный бред. На мой взгляд, децентрализованные соцсети -- оксюморон и ненужно, поскольку соцсети -- это что-то изначально задуманное, чтобы "резать и стричь" и вне этого контекста смысла не имеет.

А федеративные сервисы для людей есть: usenet, irc, e-mail. Они имеют недостатки, а точнее, особенности, такие, как относительно высокий порог вхождения или проблема спама, но они являются неизбежной платой за исключительные достоинства, такие, как простота (поднять новый сервер и слинковать его с другими доступно любому желающему), невозможность цензуры на уровне всей сети, отсутствие единого административного центра.

Вместо этих бессмысленных потугов по созданию децентрализованных соцсетей, cdn-ов, peertube-ов и прочих облаков не помешало бы появление нового харизматичного лидера, который будет топить за "еще те" принципы организации сети: федеративная организация сервисов, прямой обмен дружественными ссылками, по возможности статический контент, многочисленное ручное зеркалирование, DIY-хостинги по интересам. Все, конечно, туда не уйдут, но это и не требуется. Достаточно, чтобы некая критическая масса осознанных людей поняла, что к чему. Поняла преимущества и необходимость.

Все уже есть и никто ничего лучше сейчас уже не придумает. Лучшее, что можно сделать, это окончательно не просрать интернет, пока корпорации добра TCP/IP не отобрали.

(с) Сержант интернет-войны

#CorrectLine

GrapheneOS, часть вторая
Установка

Если вы прочли прошлый пост, то вы уже знаете, что GrapheneOS работает только на смартфонах серии Google Pixel. Если же у вас другой телефон, данная информация не будет для вас полезной.

Установку можно провести двумя способами - классическим и более простым через браузер. Так как первый вариант более сложен, а результат тот же, рекомендуем пользоваться вторым вариантом, особенно если у вас не имеется опыта в перепрошиве устройств.

Для начала вам потребуется иметь на ПК Platform Tools и браузер на движке Chromium.

Подключите телефон к ПК, на телефоне войдите в режим fastboot.

Откройте WebUSB установщик и по очереди нажмите на кнопки - "Unlock bootloader"; "Download release"; " Flash release". Не отключайте телефон от USB кабеля во время установки.

По окончанию закройте загрузчик и включите телефон, можно пользоваться

#Security #Android #ROM #Pixel #GrapheneOS

Для нетрандома изображений был создан активно обновляемый инстанс. Включает в себя на данный момент поиск по следующим источникам:
1. imgur
2. prnt.sc
3. freeimage
4. pastenow
Багрепорт принимает: @P3rf0r4tor_bot

Канал разработчика
#netstalking #netstalking_tools

Дополнительно к постам о GrapheneOS

Официально, разработчики данной прошивки не одобряют рутирование.
Однако вы можете попробовать это сделать через неофициальное OTA-обновление используя данный репозиторий.

P.S. На данный момент лично не проверялось

#Security #Android #ROM #Pixel #GrapheneOS

Расставание со старыми друзьями

Маленькая памятка для тех, кто в силу тех или иных причин, решил отказаться от услуг того или иного сервиса. По сервисом стоит понимать любой ресурс в интернете, который при регистрации требует от вас внесение каких бы то ни было персонализированных данных о вас. Многое из написанного — донельзя банально, но стоит помнить об этом и не пренебрегать шагами и советами в них описанными.

1. Причины для отказа могут быть различны. Так же различно и лицензионное соглашение, которое, юридически, вы принимаете при регистрации на ресурсе. В первую очередь, стоит проверить все платежные реквизиты и периодические подписки, если таковые подразумеваются. Отключите их, платежные реквизиты замените на недействительные, если возможно.
2. Прочие данные. Бывают ресурсы, которые по тем, или иным причинам, противятся удалению аккаунта пользователя, апеллируя соглашением или технической возможностью. В таком случае заменяем абсолютно все данные на ложные. На любую околесицу, которую позволяет вписать сервис.
3. Не стесняйтесь писать в поддержку и спорить с ней, если в Ваших интересах удалить данные ресурса, которым вы не намерены более пользоваться. 152-ФЗ в помощь. По этому же ФЗ вы можете направить письменный отказ от соглашения на обработку персональных данных на адрес организации.

Стоит помнить о том, что:
— организации не заинтересованы в удалении данных о бывшем клиенте. Если требования отказа не были выполнены или не выполнены надлежащим образом — следует подать иск на компанию и не оставлять нарушение закона без ответа.
— иностранные организации могут не подчиняться законодательству РФ, посему максимум, которого мы можем добиться — это превращение наших данных в мусор (см. пункт 2) или целенаправленное нарушение соглашения, которое повлечет за собой удаление данных и внесение в черный список (неподчинение чужому закону может работать в обе стороны)
— если вы взялись за удаление всех более не нужных вам аккаунтов, то не следует пользоваться ресурсами, которые собирают по вашей просьбе бесплатно все ваши данные в интернете. они могут использовать этот запрос в коммерческих целях в дальнейшем. Рекомендую использовать самостоятельно инструменты OSINT с открытым исходным кодом для поиска к последующему удалению ваших данных.

Не давайте компаниям зарабатывать на вас у вас же за спиной.

#CorrectLine #privacy

Сетевого нейтралитета нет. Свободы слова нет. РосКомНадзор, копирасты, кибердружинники, все они хотят превратить Интернет в подобие зомбоящика. Но есть люди, которые не согласны играть по их правилам. Мы думаем иначе, чем пассивное большинство. Мы обустраиваем свой мир: даркнет, подчиняющийся только законам математики. Название данного проекта символизирует надежду автора на то, что не все ещё превратились в хомячков, считающих что если тот или иной сайт закрыли, то так и должно быть. Данный проект создан для публикации статей которые могут помочь людям увеличить уровень их информационной безопасности. Так же здесь будут публиковаться статьи на тему сетевых технологий, даркнета, обхода блокировок, криптографии, сисадминства и т.д.

© Проект Надежда
#CorrectLine

В ближайшее время могут вступить в силу законы, которые спешно принимаются в Госдуме и одобряются Советом Федерации.

Законы, расширяющие понятие экстремистской деятельности и ужесточающие наказание за экстремизм, приняты Госдумой 15 июля, одобрены Советом Федерации 16 июля и ожидают подписания президентом. При этом понятие «экстремистская деятельность» трактуется все более широко и часто применяется к критике действий властей.

Мы призываем президента России отклонить эти законы.

Закон, вводящий ответственность за поиск информации, принят Госдумой во втором чтении 17 июля и после принятия в третьем чтении отправится на одобрение Советом Федерации и на подпись президенту.

Мы призываем депутатов Госдумы не принимать этот закон в третьем чтении. Если это произойдет, призываем сенаторов не одобрять закон, а президента — отклонить его.

Вот лишь некоторые подробности нововведений, затрагивающих права каждого, кто пользуется интернетом и мессенджерами.

Теперь экстремистским может быть признано любое сообщество — даже неформальное объединение по интересам или общедомовой чат в мессенджере — если хотя бы один из его участников был осужден за участие или организацию деятельности экстремистской группы. При этом не требуется отдельного судебного решения о признании экстремистским всего сообщества.

Решения Межведомственной комиссии по противодействию экстремизму становятся обязательными для исполнения всеми уровнями власти, включая муниципалитеты. Это создает риск правовой неопределенности и чрезмерного расширения полномочий вне судебного контроля.

В перечень экстремистских организаций будут включать не только юрлица. Теперь в официальный список могут попадать также объединения без юридического статуса, если один из их участников осужден по «экстремистской» статье. Это означает, что даже неформальные группы или онлайн-сообщества могут быть внесены в перечень.

Введены штрафы для СМИ. Установлена административная ответственность для средств массовой информации за упоминание организаций, признанных экстремистскими, без обязательного указания на факт запрета или ликвидации такой организации решением суда.

В Кодекс об административных правонарушениях вводятся штрафы:
за поиск экстремистских материалов в интернете — до 5 000 рублей, даже при использовании VPN или других технических средств;
за передачу SIM-карты, логинов и паролей третьим лицам — до 50 000 рублей;
за рекламу VPN-сервисов — от 50 000 до 500 000 рублей.


Мы понимаем необходимость борьбы с экстремизмом. Однако в предлагаемой редакции эти меры:
не обеспечивают правовую определенность (как будет доказываться умысел? какие действия — поиск, переход, чтение?);
вводят ответственность за действия, которые не всегда поддаются контролю со стороны пользователя;
могут привести к необоснованному преследованию обычных граждан, журналистов, исследователей, преподавателей и даже правозащитников;
создают угрозу приватности и цифровой безопасности россиян, побуждая к вмешательству в личные устройства и истории браузеров;
и, наконец, подрывают доверие к законодательству как таковому — устанавливая нормы, которые невозможно соблюдать, или доказать нарушение которых можно только с нарушением прав человека.

Мы уверены: устойчивое будущее России возможно только на основе открытости, доверия и разумных ограничений. Свобода получения информации и уважение к частной жизни — фундаментальные принципы правового государства. Мы просим вас сохранить их.

Source: https://open-internet.ru/

#CorrectLine #privacy

Отслеживание через параметры ссылок

Часто, получая ссылки от ваших собеседников, либо делясь ими самостоятельно, вы можете увидеть различные параметры: ?si, ?utm_*, ?ref и т.д

С точки зрения передачи самого контента все эти параметры бесполезны, зато полезны маркетологам, ведь благодаря этим меткам понятно кто кому передал ссылку, c какого сайта вы зашли, на какой рекламный баннер вы нажали и многое другое.

Вся эта информация сохраняется и используется для аналитики и обработки ваших персональных данных, а также
связывается с вашим IP адресом, аккаунтом, местоположением и другой информацией.

Кроме отслеживания со стороны компаний, вы рискуете быть сдеаноненным передавая подобные ссылки. Например, если вы отправите два разных видео с YouTube с анонимного и с официального профиля, и в данных ссылках будет один и тот же уникальный идентификатор ?si.

Что же с этим делать?

1) Будьте осознанным, и перед тем как перейти по ссылке сотрите всё, что стоит после "?"
2) Делитесь сами только чистыми ссылками
3) Установите аддон ClearURLs в свой браузер

#CorrectLine #privacy

Поэтическая адаптация

Спойлер: я не хочу касаться политики в данном посте и я её не касаюсь. Я — как гражданин государства всего лишь участвую в обсуждении не принятого законопроекта, строю гипотезы и теории каким экстравагантным способом может поступить сообщество, которого это касается

Недавно инфополе пронзила новость о законопроекте, касающегося сферы информационной безопасности. Подробнее здесь.
Кратко: выдвигается предложение о запрете обсуждения уязвимостей программных решений. Что это сулит? Подробный разбор последствий мы оставим профильным специалистам. Поговорим о необычном решении: литераторство.

Идея такова. В художественной форме доносить до целевой аудитории информацию о чисто технических вопросах. Такое встречалось и до этого. Например, в книгах французского литератора Бернара Миньера. В книге "Круг" он поверхностно описывает работу оперативника с компьютерными программами, делая информационные сноски. Идея как раз в обратном. Писать об обнаруженных уязвимостях под покровом "вымысла, где совпадения случайны".

Не всегда можно будет однозначно доказать, что новая уязвимость оказалась реальной (ибо запрет подобной информации явно скажется на подготовке кадров). Возможно, такая литература выделится в отдельный жанр и даже будет востребована в узких кругах. То, что было уделом некоторых помешанных (здравствуй, нёрдрок), может стать весьма и весьма популярной в этой сфере практикой.

В заключение заметки: весь текст — вымысел. Совпадения с реальностью — случайны

#infosec #laws

https://github.com/melontini/bootloader-unlock-wall-of-shame

Полезный репозиторий, если хотите узнать насколько легко открыть загрузчик чтобы установить кастомную прошивку на телефоне от вашего производителя или подобрать новый специально под эти цели.

Содержит всё необходимое описание которое может вам помочь с этим; информация часто обновляется.

#phones #correctline

Подборка анонимных имиджборд и смежных площадок с необычным пользовательским опытом:

1. 314n.org — полутекстовая (картинки прикрепляются со сторонних сайтов через BBCode) мелкоборда, оформленная в виде консольки и подражающая BBS 80—90-х.
2. ranon.ru — Анонимный чат, работающий по следующему принципу: вы отправляете записку и ловите на неё ответ, на который отвечаете, на вашу записку вам тоже кто-нибудь пришлёт ответ, так и завязывается общение.
3. @dvach_chatbot — (очередная) экспериментальная имиджборда внутри телеграм. Не проверена автором поста. Заходить на свой страх и риск
4. tuzach.in — Радио, где пользователи сами загружают музыку. Официально именуется радиоимиджбордом, ввиду наличия полуанонимного чата с картинками.
5. bnw.im — Система блогов, постинг в которой осуществляется через протокол XMPP, более известный как Jabber.
6. merzochan.at.ua — имиджборда на старом-добром Ucoz'e. На данный момент не работает, но на главной висит голосование за реконструкцию сайта
7. vkchan.ru — это такая штука, которая вроде как похожа на систему анонимных форумов, где можно общаться быстро и свободно, где любая точка зрения имеет право на жизнь. Сделано все это было ради proof of concept.

Рассмотреть другие ресурсы бордосферы можно в Навигаторе: https://austrellum.github.io/navigator/
github: github.com/austrellum/navigator

#Anon #Sites

В продолжение предыдущего поста не могу с Вами не поделиться недавно опубликованным ретроспективным видео на тему русскоязычной бордосферы.

#Anon #Sites

Nicotine Plus

Альтернативный клиент для известной P2P сети SoulSeek, используемой как правило для бесплатного обмена музыкальными файлами.

В отличие от официального, Nicotine является свободным программным обеспечением с открытым исходным кодом

#CorrectLine #Software