Haven - csinálj "őrszemet" egy tartalék okostelefonból!

Titkosítás, biztonság, privát szféra

Edward Snowden és csapata egy Haven nevű Android alkalmazáson dolgozik. Az alkalmazás egy felesleges androidos okostelefonból (és annak szenzoraiból) egy olyan őrszemet csinál, amely folyamatosan figyeli a környeztet és ügyel a fontos dolgaink vagy akár személyek biztonságára. Az alkalmazás folyamatos fejlesztés alatt áll és megtalálható a Play Store-ban.

Részletek itt.

( Hiena v | 2017. 12. 25., h – 14:23 )

Hogyne. Mi sem természetes, hogy egy állandó jelleggel kémkedő eszközt állítok be a környezetem megfigyelésére, kényes adataimat védendő. A koncepció szép, csak azért nem lenne szabad elfelejteni, mennyire megbízhatóak az Androidos készülékek operációs rendszerei...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

A biztonsági kamerám nincs 24 órában a netre kötve. Nem igényel a működéséhez folyamatos internetes kapcsolatot. Operációs rendszere olyan időszakban íródott, mikor még nem volt érdek a felhasználókról történő adatgyűjtés.

"Lineage OS sem?"
Milyen tanusítványok vannak a megbízhatóságára? Egyszerűen, közhalandó által auditálható? Egyszerűen, könnyen fordítható és telepíthető bármilyen készülékre? Frissítéseknél auditált, tartalom szempontjából könnyen ellenőrizhető csomagokat tölt le?

--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

"Milyen tanusítványok vannak a megbízhatóságára? Egyszerűen, közhalandó által auditálható? Egyszerűen, könnyen fordítható és telepíthető bármilyen készülékre? Frissítéseknél auditált, tartalom szempontjából könnyen ellenőrizhető csomagokat tölt le?"

Légyszíves mondj már egy manapság széles körűen használt, a fenti kritériumoknak megfelelő oprendszert, firmware-t vagy valamit. A "hello world"-ön kívül..

"A biztonsági kamerám nincs 24 órában a netre kötve. Nem igényel a működéséhez folyamatos internetes kapcsolatot."

A fenti szoftver sem, benne van a cikkben.

QNX (auditált, tanúsítványokkal rendelkező), ITRON (a föld keletebbik végében szinte mindenben ott van, amin kanji írásjel díszeleg, kicsi, gyors, open-source, kb. 1-1.5 milliárd telepített példánnyal ). De bármelyik másik OSt, amelyik nem egy 2-3 millió soros generikus OS kernelből és 3-4 köztes virtualizációs réteggel obfuszkált kódra építkezik. Bármi, amit 2005 előtt adtak ki.
Felesleges vitatkozni ezen. Az összes mobil OS és az összes új generációs asztali OS, a folyamatos adatgyűjtésre és adatszivárogtatásra vannak felépítve. Ezzel fizetsz a kényelmedért. Ezzel együtt kell élned, de nem kell annyira hülyének lenned, hogy figyelmen kívül hagyd és minden bullshitet megegyél.

Próbáltál már egy androidos készüléket huzamosabb ideig (1-2 hét) net nélkül használni? Szegény, úgy a 4., 5. nap magasságában már egészen depressziós szokott lenni. T'od hiányzik neki az anyuci, meg a nagy és kistestvérek. Már az is lelki törést okoz neki, ha nem tudja időnként basztatni a wifit.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Az lenne, ha nem lenne értelme a dolognak. A jelen kontextusban van értelme, nem is kevés.
Az okostelefonok, közösségi hálózatok megjelenése óta az informatikai piac elment az adatgyűjtés irányába. Ma, egy modern OS, el sem indul anélkül, hogy a felhasználó legalább 3 helyen bele ne egyezzen, hogy az eszköze folyamatos adatokkal lássa el az OS gyártóját, ilyen vagy olyan okokra hivatkozva.
A régi OS-nél, az OS gyártó azért szorította a farpofáit, hogy nehogy valamilyen hiba legyen az OSben, amiért fizetnie kelljen. Ma azért szorítja a farpofáit, hogy nehogy lemaradjon valamilyen, olyan adatról, amit értékesíteni lehet a piacon. Egyszerűen rájöttek arra, hogy egy OS-t egyszer lehet eladni, de a felhasználó szokásait, millió plusz egy alkalommal.
Ebben egyébként az egyik legnagyobb bűnös pont a free, open-source szemlélet. Ugyanis a matek egyszerű: Ha kihánysz valamit ingyen a felhasználónak, ami épp csak működi és épp csak utánozza a drága szoftvert, akkor a felhasználó nem fog fizetni a drága szoftverért, hanem az ingyenest fogja a használni. Nem érdekli a felhasználót, hogy az adott fizetős terméket adott esetben, fétucat főállású fejlesztő írta, két vagy három programozó matematikus reszelte alapkutatástól kezdve, tucatnyi tesztelő nyüstölte hónapokon keresztül, és ezeknek a bérét ki kell fizetni. Neki ingyé' kell. Minél nagyobb az adott termék, annál nagyobb költséggel jár a fejlesztése és ha ezt a felhasználó nem akarja kifizetni, akkor valahonnan máshonnan kell ezt beszerezni.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Reszben igazad van, de nem az open source hibaja, hanem az embereke. Az emebrek nem tudnak (es tobbsegukben nem is akarnak) kulonbseget tenni szabad es ingyenes kozott, es hogy melyik "ingyenes" dologert mivel fizetnek.

A szabad szoftver nem a mindenbol hasznot huzni akaro emebrek vilaga volt, hanem egy ajandekozo (szub)kultura. Ma mar gyokeresen mas a helyzet, hiszen a legkulonfelebb uzleti modelleket es strategiakat epitettek fel ra. De ezt azert szerintem legkevesbe sem lehet az eredeti idea hibajanak tekinteni.

Messzire vezetne, de en egeszen mas modon hasznalom a szabad szoftvereket, mint a legtobben korulottem. A legtobben nem is tudjak, hogy hasznalnak szabad szoftvereket, es valami adatlopo "ingyenes" szolgaltatas / szoftver reszekent "becsomagolva" jutnak hozza. Ezzel szemben lehet a szabad szoftvereket arra hazsnalani, hogy a lehetosegekhez merten leginkabb birtokosai maradjunk az adatainknak. Szoval nem a kes a hibas, ha a szomszedot dofod le vele, lehet azt kenyervagasra is hasznalni.

"Ebben egyébként az egyik legnagyobb bűnös pont a free, open-source szemlélet. Ugyanis a matek egyszerű: Ha kihánysz valamit ingyen a felhasználónak, ami épp csak működi és épp csak utánozza a drága szoftvert, akkor a felhasználó nem fog fizetni a drága szoftverért, hanem az ingyenest fogja a használni."

Baromság.
Ott van a (Open)LibreOffice, az MS Office mégis él és virul. A sakk adatbázis kezelőknél a Scid régóta a vezető open source választás, a Chessbase mégis él és virul. Rengeteg más példát lehetne még hozni. A felhasználó ugyanis hajlandó fizetni a drága szoftverért, ha az tényleg jobbat, vagy többet nyújt a pénzéért, mint az ingyenes.
--
♙♘♗♖♕♔

> Lineage OS sem?

Sajna az sem, telis-tele van zart blobokkal, amik nelkul csomo funkcio nem mukodne. (Wifi-blob, videokartya-blob, kamera-blob, stb., stb.) Innentol kezdve a gagyi kinai, appkent elotelepitett kemprogramok ellen vedve vagy, de az ilyen-olyan firmware-be elotelepitettek ellen nem. (Meg amugy is, sok (legtobb?) lineage felhasznalo nulladik lepeskent telepiti a google szarait.)

CopperheadOS elvileg sokkal szekjurabb, de az meg google blobokkal nyomja (csak a nexus szeria tamogatott).

Replicant-ek kiszortak ezeket, de egy par regi galaxy-ra szukult a tamogatott keszulekek listaja es nem megy a wifi, a GPS, a kamera, a HW media decoding, a 3D gyorsitas. Csoda, hogy a telefonalas es az adatkapcsolat megy. Oh wait! Hat az meg nyilvan a baseband proci androidtol fuggetlen sajat blobja miatt megy, de annak meg allitoag full hozzaferese van a fo rendszermemoriahoz, szoval sokkal elobbre nem vagy.
https://redmine.replicant.us/projects/replicant/wiki/ReplicantStatus

Legalabb gorgesd at a cikket, mielott nekikezdesz. En ezt lattam, amikor atfutottam:
- nem allando jelleggel, hanem csak akkor, amikor te magad nem vagy ott
- nem az egesz kornyezeted, csak a laptopod kozvetlen kornyezetet, pl. a szef belsejet, amibe bezartad.
- offline, ha akarod.

Ja es nagy respect, hogy nincs mobilod, egyetlen masik emberrol hallottam egesz eletemben, aki elvan nelkule.

Milyen wifi? Offline. Aramot? Egy okostelefon? Olyat meg nem lattam, amiben ne lenne akksi.

Megegyszer: Ez a progi kb. annyi, mintha egy regi, offline okostelefonon bekapcsolnad a hangrogzites funkciot es a laptop melle tenned, amikor otthagyod a hotelszoba szefjeben/fiokjaban/a borondodben. A felvetelt visszahallgatva ertesulsz rola, ha a takarito kinyitotta a borondot es matatott benne. Ha jol ertem annyi az extra, hogy kepes erzekelni a valtozast, ugyhogy nem kell vegighallgatnod a tobb oras felvetelt, opcionalisan tud kamerakepet csakrogziteni es opcionalisan halozaton at ertesit, ha kered.

Ha fixre akarod otthonra (ismert meg a technologia "riaszto" neven), akkor vezetsz zsinort.

Aksi. Elhúzol egy-két hétre nyaralni. Melyik bírja addig?

Kirámolják a mackót, kikapcsolják a telefont és viszik. Mit fogsz tudni az esetről?

Opcionális hálózat, mint megoldás, erre vonatkozott a WiFi, vagy akár mobil hálózat.

"I'd rather be hated for who I am, than loved for who I am not."

> Kirámolják a mackót, kikapcsolják a telefont és viszik.

Ebben az esetben tok egyertelmu, hogy matattak a laptoppal, nem?

Tovabbra sem a vizes-a-ko-akkor-esos-az-ido szintu esetekrol van szo, ez a program nem a tolvajok ellen van, hanem a gephez hozzafero es abba pl. keyloggert csempeszo tamadok ellen. Tehat amikor latszolag pont ugy talalsz mindent, ahogy hagytad.

( Aadaam v | 2017. 12. 25., h – 14:24 )

Igen, szeretném ha egy Oroszországban élő volt NSA ügynök a lakásomban olyan eszközhöz jutna, ami folyamatosan vesz minden hangot és képet. El se tudnék képzelni nagyobb ajándékot Putyi...izé, Snowdentől.

Persze, ha repeateable vagy mifene a build, és szeretnék napokig kernelforrást olvasni...

De fogjuk fel egyszerűbben: ahhoz hogy ez a dolog működjön, ahhoz valami szerverre kell küldenie a dolgokat, az meg fene tudja, mit fog vele csinálni.

És tudom hogy a távkábelek körül köröző orosz tengeralattjárókat meg a “hirtelen” a fél internetet magán keresztül routoló orosz routert nem kéne idekeverni, de mi van ha az oroszok tudnak valamit amit mi még nem az SSL-lel...

Azért egy-két dolgot nem nagyon értek. Bár az is lehet, hogy ezek közismert dolgok, csak valahogy elkerülték a figyelmemet. Már évek óta az oroszoknál él. De miből? Ki fizeti? Milyen munkát kell végeznie ezért a pénzért? Hány hétig, hónapig hallgatta ki az FSZB? Az elárult titkok miatt hány millió év börtönbüntetést kapna (vagy hányszor végeznék ki) otthon.

Szubjektív: Nem akarok sem az USÁ-ban, sem Oroszországban élni. De ha ezen két ország közül kellene választanom, akkor azt hiszem, hogy az orosz szabadsággal szemben inkább az amerikai szabadságot választanám.

( apostroph3 | 2017. 12. 25., h – 18:41 )

mikor adja ki az adatokat, ahogy az előző munkaadóét kiadta.

aki egyszer ..., az többszöri is:)

hat mikepp? buncselekmeny kovetett el

Whoever, owing allegiance to the United States, levies war against them or adheres to their enemies, giving them aid and comfort within the United States or elsewhere, is guilty of treason and shall suffer death, or shall be imprisoned not less than five years and fined under this title but not less than $10,000; and shall be incapable of holding any office under the United States.

Nem akarom ezt megvitatni itt, de az tény, hogy a fickó feltette az életét egy ügyre, amit jónak vélt. És ezt így adni vissza...

(és igen a törvények betartása nem garantáltan esik egybe a helyessel. ezer példa van rá. arra is, hogy akik betartják a törvényeket lehetnek közben ártó gazemberek(lásd itthoni politikusok és vazallusaik). a végén mindig az egyénen marad a döntés és felelősség)

"Nem akarom ezt megvitatni itt, de az tény, hogy a fickó feltette az életét egy ügyre, amit jónak vélt. És ezt így adni vissza..."

Igen, és a kérdés, amit feszegetnek, hogy
a) mindenképp szeretnéd-e, hogy a következő esetben pl a te életedet (adataidat) tegye fel egy olyan ügyre, amit jónak vél? Fontos ,hogy nem olyanra, amit te vélsz jónak, hanem olyanra, amit ő.
b) Nem éppen a saját életét próbálja meghosszabbítani a bizalmi tőkéjét felhasználva?

Lehet hogy ez szerinted sértő, de ettől még teljesen jogos kérdések. Arról nem beszélve, hogy pont az a faszi arcon köpése, ha az után, amit nyilvánosságra hozott, azt propagálod, hogy nem kell mindenkivel szemben risk analízist végezni :)

( ricsip v | 2017. 12. 25., h – 19:52 )

Ez a snowden gyerek még él? Egyáltalán, ez 1 db létező személy, v. egy nagyobb létszámú, meghatározott céllal létrehozott csoport dolgozik ilyen fedőnév alatt?
--

Az Alfred biztonsági kamera. Ez meg evil maid attack elleni védelem. Alma meg körte.

TLDR: A szállodai szobában lecsukva ott hagyod a notebookod. A tetejére rakod a Havent futtató telefont. Ha hozzányúlnak a távollétedben a notihoz, akkor jelez a telefon az accelerometer alapján + csinál hang- és videó felvételt.

( antivirtel v | 2017. 12. 29., p – 14:54 )

Az ötlet szerintem nagyon jó. Egy kérdésem maradt csak, vajon ZoneMinderbe be tudom majd az ilyen telót kötni?!