LINUX.ORG.RU

Избранные сообщения imbaaa

Android, зонды, безопасность, СПО, паранойя

Форум — Mobile

Disclaimer1: Проблема с данным маном в том, что местной аудитории, например, плевать на ведроид, а тому же 4pda наплевать на фанатичный СПО и избавление от зондов. Рискнем и запостим здесь.

Disclaimer2: Все описанное является суммой наклопленного мной опыта вперемешку с моим личным мнением. Пишите комменты, будем улучшать-дополнять-чинить

Уровень прошивки

Практически все стоковые прошивки на сегодняшний день идут с gapps (Google Apps). Что же это за зверь:

  • Любое приложение (даже не требуещее никаких прав) может с ним общаться.
  • Gapps имеют доступ к сети.
  • Gapps позволяют Google в любой момент установить/удалить с вашего телефона любое приложение.
  • Gapps постоянно держат открытое сетевое соединение с серверами гугла (для нужд push-нотификаций).
  • Gapps — нереальное огромное количество кода. Стоковый образ (если верить opengapps) будет весить около 700Мб.

ААААА, как это удолить этот рассадник потенциальных уязвимостей и жора батарейки?

Сложный вопрос, на самом деле. Есть три варианта действий:

  • Новый и простой, и профитный способ. Появилась прошивка «LingeageOS for microG». Если ваше устройство поддерживает её, просто ставьте её и наслаждайтесь. Fdroid+MicroG+пуши+signature spoofing+unlp+OTA-обновления из коробки
  • Самый простой способ. Если ваш андроид достаточно старый (на достаточно новом не удастся отключить самый главный компонент gapps), из Настройки->Приложения отключите все, связанное с Google (особенно, Google Service Frameworks):
    • root не требуется;
    • push-уведомления работать не будут;
    • на устройстве останется огромная и потенциальная куча гугловского дерьма, хоть и менее активная.
  • Способ посложнее. Накатываем root и вручную удаляем все пакеты и библиотеки, требуемые гуглу:
    • требуется root и разблокировка загрузчика;
    • минимальное количество зондов без смены прошивку на полностью опенсорсную;
    • увы, в последних версиях андроида вам, скорее всего, придется оставить несколько пакетов (вроде GoogleSetupWizard), иначе система не загрузится.
  • Самый профитный способ. Ставим альтернативную прошивку (или мотаем до следующей секции и покупаем устройство с пгавославной прошивкой без зондов из коробки). Наслаждаемся.
    • Требуется root, разблокировка загрузчика, шаманство и местами смена устройства.

Я тут начал наслаждаться, но вдруг понадобились пуши, да и Uber требует зонды. Что делать?

Вдоль

Попробовать поставить MicroG, свободную реализацию клиентской части гуглозондов. Самая больная часть: помимо собственно MicroG вам нужно будет запилить себе Signature Spoofing. Коротко говоря, это обход защитного механизма, не позволяющего прикидываться gapps'ами кому попало. Для этого необходимо либо патчить прошивку при помощи Xposed/Needle/Haystack, либо использовать совместимую прошивку (смотрите список, по ссылке, их стало очень много). Все подробности по той ссылке.

MicroG позволяет завести пуши, сервисы геолокации (со множеством бекендов, ищите nlp location backend в f-droid) и большое количество софта (когда я в последний раз тыкал, работали даже покемоны).

Уровень софта

Без гуглозондов жить есть!

https://f-droid.org/ — каталог с опенсорсным софтом.

Предлагаю вам следующий список приложений, способный заменить типичный набор проприетари из типичной вендорской прошивки. Аналогичный список: https://github.com/Datenschutz/awesome-FOSS-apps

  • Yalp store. Позволяет ставить приложения из Google Play (да, иногда это все-таки нужно), в том числе через общий аккаунт. Не требует зондов.
    • Позволяет так же выкачивать купленные приложения (но не факт, что они заработают: они при работе могут проверять лиценизию через gapps, возможно, тут может помочь microg).
    • Альтернативно, воспользуйтесь моим решением для выкачивания софта прямо в свой репозиторий f-droid.
  • K-9 Mail. Почтовый клиент.
  • DAVDroid. Синхронизация контактов с owncloud/nextcloud.
  • Gadgetbridge. Синхронизация с умными часами и браслетами (pebble, mi band и некоторые другие)
  • NewPipe. Клиент для YouTube. Умеет воспроизводить видео в фоновом режиме как музыку, загружать файлы.
  • Odyssey. Просто материальный музыкальный плеер, но в последнее время очень нужный, т.к. вендоры повадились заменять в прошивке плеер на Google Music.
  • Набор простых и красивых затычек для различных приложений — simple mobile tools.
  • Файрволл AFWall+ файрволл (имеет Xposed модуль для расширения возможностей)
  • Amplify Battery Extender.
  • DNS66.
  • KDE Connect.
  • OpenKeychain.
  • OpenVPN FOSS.
  • Картография и навигация: Maps.Me (приз симпатий от комментаторов), OsmAnd (приз глюкалова от меня, но щито поделать).
  • Список стал очень жирным. Пока новые элементы не добавляю, думаю над критериями включения в него софта.

Если вы будете ставить проприетарный софт, помните о следующем:

  • Желательно зайти в настройки приложения и вручную запретить доступ ко всем ненужным разрешениям, дабы не промахнуться в нужный момент.
  • Отключите приложению фоновый доступ к сети (если у вас свежий Android) или вообще доступ к сети (если у вас стоит файрволл).
  • Малвари вроде «Сбербанк Онлайн» вообще лучше создать отдельный аккаунт на телефоне.
  • Яндексовским приложениям нельзя давать доступ к местоположению. Вообще никаким — все сливают.
  • Проприетарь может читать названия аккаунтов, даже не принадлежащих ей. Называйте их максимально обще, т.е. вместо «sportloto@syncserver.com» делайте «contacts sync».

Права суперпользователя

Читая васянский 4pda вы часто можете увидеть «ну и накатываем SuperSU.zip». Не делайте этого. Есть прекрасный опенсорсный superuser, совместимый со свежими ведроидами. Нужно лишь поставить zip (используйте beta на android >=6) и apk.

Если ваша прошивка основана на LineageOS, то все еще проще. Где-то рядом с загрузками в директории extra должен валяться zip, включающий встроенные и интегрированные в прошивку права суперпользователя. Профит.

XPosed

XPosed — опенсорсный фреймворк для низкоуровневых хаков.

  • Не доступен для свежих андроидов.
  • Позволяет заставить не увидеть root всякие «Сбербанки Онлайн».
  • Имеет кучу некрофильских и неопенсорсных модулей. Осторожнее.
  • Легким движением руки может окирпичить прошивку.
  • Полезные модули:
    • PlayPermissionsExposed
    • YouTubeAdAway (но все-таки советую использовать NewPipe, LightTube, WebTube, SkyTube или MiniTube. Тысячи их!)
    • XPrivacy — по своей сути это «песочница» для любого, даже системного, ПО. Xprivacy применяет правила ко всему ПО. Эти правила можно создавать самому или качать готовые. То есть, к примеру, если установлено нечто местами полезное, но попутно показывающее свою рекламу, Xprivacy можно просто запретить этому ПО доступ в сеть. Или если очередная косынка хочет интернет, список контактов, доступ к микрофону и камере, то с Xprivacy это легко и просто запрещается конкретно этой гадости и она даже будет при этом работать не имея доступа к тому, что ей будет запрещено.

Уровень устройства

Тут тоже всё плохо. Выбор:

  • Рандомный флагман с хорошей поддержкой LineageOS (CyanogenMod). Поддержка, вероятно, будет хорошей, секьюрити-апдейты будут приходить долго (например, для htc desire hd цианоген обновлялся до самого конца — декабря 2016 года), но вот версия андроида, скорее всего, застрянет. Обычно дорого. Можно искать по списку официально поддерживаемых линейкой устройств.
  • OneplusOne / Wileyfox Swift 1. Поставлялись с CyanogenOS, имеют хорошее коммьюнити разработчиков, будут долго обновляться в софтовой части. В железной — все плохо. 1+1 уже довольно старый и хорошие запчасти купить сложно. Wileyfox изначально имел несколько проблем, в т.ч. слабенькую батарейку. Компенсируется ценой, местами можно найти новое в продаже. Довольно бюджетно.
  • Fairphone 2. Очень дорого, очень хорошо. Но это в теории, как там на практике — хз, не пользовался, отпишитесь.
  • Рандомный телефон с официальным портом los. Сойдет, главное, чтобы фатальных багов в порте не было. Долгой жизни порта не ждите.
  • Рандомный телефон с васянским los. Совсем плохо, но если телефон уже куплен, ничего не поделать.
  • Рандомный телефон с васянским ведроидом, основанным на стоковой прошивке / без исходников / проч. Лучше такое не ставить, а подготовить прошивку самостоятельно, смотрите выше и ниже.

Следует также заметить, что:

  • Существует несколько устройств с CyanogenOS, без доступной Cyanogenmod. В комплекте идут сервисы microsoft, gapps и много разной другой блотвари. Исходники обычно зажабены. Пример устройств: Wileyfox Spark, Wileyfox Swift 2(|+|x).
  • Выбирая устройство, так же загляните на его страничку на 4pda. Ресурс хоть и васянский, но очень полезный: можно увидеть список доступных прошивок, FAQ по типичным проблемом, список самых вероятных заводских проблем (которые можно проверить еще перед покупкой).

Уровень физической безопасности

Для чего нужна физическая безопасность:

Допустим, ваш девайс попал в руки злоумышленнику.

  • Во-первых, вы хотите, чтобы он не имел никакой возможности прочитать важные файлы с вашего телефона (кейз ФБ-1).
  • Во-вторых, вы хотите узнать, не добавил ли он кейлоггеров в ваш загрузчик (кейз ФБ-2).

Сразу скажу: всё плохо. Вам может показаться, что заботливые производители позаботились о вас, залочив загрузчик вашего телефона и не позволяя его разблокировать, не удалив все данные с телефона.

Я бы на вашем месте на это не рассчитывал.

  • Аппаратные защиты часто не надежны и опираются на принципах безопасности через неясность, в них переодически находят уязвимости
  • На прекрасных, казалось бы, телефонах Xiaomi вы не сможете разблокировать загрузчик, если с Xiaomi что-либо случится: разблокировка производится с участием интернета при помощи (работающей только под Windows) программы, требующей их аккаунта и доступа к интернету. У HTC похожая ситуация, но в несколько более мягких условиях.
    • Скорее всего, это доставит неудобств именно вам, а не злоумышленнику
  • Всякие проприетарные системы полнодискового шифрования тоже не выдерживают проверок специалистами.

Выводы:

  • Для хранения ваших секретных файлов в безопасности от ФБ-1 используйте, к примеру, Secrecy.
  • «Таблеток» от ФБ-2 на сегодняшний день нет. Промбируйте телефон при помощи скотча и волос и не расставайтесь с ним.
  • Лучше все-таки не хранить никакие важные данные на телефоне.

Модули сотовой связи

В каждом мобильном телефоне, почти каждом планшете есть GSM-модуль мобильной связи. Это —

  • Фактически отдельное устройство, обычно имеющее максимальный доступ к процессору, памяти и переферии. Зачем это делают — черт знает. Возможны исключения, нужно уточнять в каждом отдельном случае.
  • Идентифиционный модуль, который постоянно разговаривает с воздухом.
  • Куча проприетарного кода, который никто не анализировал. В тех немногих случаях, когда анализировали — находили кучу всего интересного.
  • Работает это все на протоколах, местами разработанные в 80-х годах.

Так что тут все настолько плохо, что я даже предложить ничего не могу. Страдайте.

Вроде, все, что хотел сказать. Выдыхаю

 , , , ,

derlafff ()

Увеличить буфер кратковременной памяти. Увеличить время кратковременной памяти.

Форум — Talks

У меня есть одна беда, это ужасная память, как долговременная так и кратковременная. Оставим долговременную в сторонке, так как для её развития 100500 способов + 100500 хаков мозга, типа мнемоник и прочего. А вот как развить кратковременную память? Увеличить объём и время хранения и что особенно важно увеличить скорость изъятия информации (вспоминания), важно отметить что именно развить, а не хакать ( хакать легко используя мнемоники и ассоциативные цепочки к примеру при запоминании предметов лично я могу запомнить в 10~20 раз больше чем просто разглядывая и запоминая их то есть в обычной ситуации 5~8 предметов, а затратив больше времени (раза в 3-4) связуя все предметы в цепочку 50~100) так как при хаке образуется дополнительная информации я которую опять же надо запомнить. Думаю меня все поняли. Так чем эффективно развить кратковременную память? Способы, упражнения, статейки в тему, статейки по исследованию памяти приветствуются. Понятное дело что всё зависит от тренировки, только вот как тренировать то свою оперативку в голове? Это серьёзная тема, у меня действительно беда с памятью, к примеру после написания 20`ой функции на сишке я уже не помню как именно реализовал первую, и что бы понять снова перечитываю свой же код. А уж про обычную жизнь бытовую вообще молчу.

 , ,

Dron ()

rsync для Android. Задача. Посоветуйте.

Форум — General

Камерой смартфона фоткаю. Откладываются .jpg / .mp4 файлы в каком-то каталоге на смартфоне, который «галерея». Раз в несколько месяцев сношу все фотки со смартфона.

Задача: при появлении в домашней wi-fi сети (доступности некого 192.168.0.123 - домашний сервак, Ubuntu 14.04), android-девайс (Android 5.0.1) НАДЁЖНО сливает только отсутствующие на домашнем сервере файлы из своего каталога gallery на этот домашний сервак.

Не нужно: стягивать что-то обратно в смартфон, что оттуда удалилось.

Не нужно: удалять файлы на сервере, которые исчезли со смартфона. Домашний сервак - жадный накопитель, ничего не удаляющий. Смартфон - НИЧЕГО не стягивающий обратно.

Нужно: смартфон всё делает сам в фоновом процессе, делает это надёжно, не отвлекает юзера окном «ой не получилось залить 2 гб, ОК, ОТМЕНА». Не получилось - пытается снова и снова втихую с паузами, чтобы не жрать батарейку.

Нужно: большой период попыток, чтобы находясь в другой сети у меня не сильно не выжирало батарейку на безуспешные попытки найти мой домашний сервак.

Нужно: безопасность. Чтобы наличие какого-то ругого 192.168.0.123 в чужой сети не привело к сливу файлов туда.

Посоветуйте законченное решение: софтину для сервака, android-аппликуху для девайса, требующую только настройки, но не ручной активации на действие.

В крайнем случае: пускай софтина работает от пинка «осуществить залив», а не пытается в фоне сделать всё сама.

 

hlamotron ()

Как реализовано уведомление о новых обновлениях Linux?

Форум — Admin

Кто знает как реализовано уведомление о новых обновлениях(см.скриншот по ссылке)? скриншот OS Armbian. Хочу написать скрипт, чтобы он мне писал, когда есть обновления.

 , , , ,

BladzheR ()

С чего начать изучение C?

Форум — Development

Здравствуйте. Простите если не туда написал.

Хочется потихонечку начать изучать программирование. Долго думал с чего же начать, остановился на С и Scheme. Сейчас хочу попытаться разобраться с С. Подскажите хороший самоучитель. Сам, конечно, искал, много нашёл, но хотелось бы спросить профессионалов )

Навыков программирования нет вообще. На втором курсе писал программу на Паскале по сортировке пузырьковым методом, но уже ничего не помню. Разве что иногда пишу простенькие скрипты.

Спасибо заранее.

>>>

GreyDoom ()

Поиск 2D-игры с отборной расчленёнкой

Форум — Games

Навеяно соседним постом про игры с добиванием противников. Хочется найти игру, подходящую по запросам (я не знаю, существует ли такая). Прошу помощи :)

Суть: нужна двухмерная игра (желательно пиксельная, ибо с полигональными моделями или простой графикой может быть отвратительная анимация) с видом сбоку, где хорошо ощущается стрелковое оружие, а противники превращаются в фарш на манер Brutal Doom (отстреливать конечности, разрывать врага, взрывать). Скорее всего, среди ретро-игр такого (а старенькие игры времён DOS, если есть, прошу исключить) нет. Может, такое выходило в нулевых или уже в десятых от инди-разработчиков.

Просто нужна кровища с огнестрелом, где вполне себе может быть ситуация, когда персонаж отстреливает кому-нибудь голову, из-за чего труп симпатично оседает. Отстреливает конечность, тот мучается в агонии. Проще всего описать - Brutal Doom в 2D и, возможно, с меньшей скоростью происходящего, если получится.

Платформа не волнует - ПК, стационарные или портативные консоли. Эмуляторы.

 ,

StalinEXE ()

Математика с нуля. Час времени, каждый день.

Форум — Talks

«Один мой приятель спрашивает», как 30-летнему маменькиному сынку эффективно выучить математику практически с нуля, т.е. он не помнит даже как делить в столбик и с трудом вспоминает как умножать.

Есть идея взять учебники начиная с 1-го класса средней школы и продвигаться до. Как примерная конечная цель, можно рассматривать состояние гуру в алгоритмах.

Но есть ли какие более эффективные, прорывные методы? Список литературы, видеофильмы, лекции? Времени на математику: 1 час в сутки.

Если что, про «Матемагию» (Secrets of Mental Math от Arthur Benjamin) слышали и скачали (1, 2), если кто не в курсе, посмотрите это видео на TED с переводом.

Ведь это не сложно на самом деле, если последовательно двигаться от малого и простого до сложного и комплексного, или как говорит некто Linus Torvalds:

«Любого уровня сложности можно достичь за счет сочетания простых вещей.
Для решения сложной проблемы нужно лишь создать связи между простыми процессами.»

и в другом месте:
«Я думаю, что обладание математическим умом и модельным мышлением, набор теории и создание подобных вещей — очень важно для программиста, даже если вы не используется математику напрямую. Мне очень нравится математика, на самом деле причина, по которой я изучал информатику как основной предмет в университете было скорее связано с тем, что я чувствовал, что скорее мог получить работу связанную с информатикой, чем с математикой, но математика была, на самом деле, моим основным интересом. И я думаю это полезный опыт, поэтому те люди, кто хлопает, потому что ненавидит математику — вы неправы.»

ну и Марк Твен говорит:
«The secret of getting ahead is getting started. The secret of getting started is breaking our complex overwhelming tasks into small tasks, and then starting on the first one.»

и Генри Форд тоже:

«Каждый, кто перестает учиться, становится стариком, вне зависимости от того, сколько ему лет - двадцать или восемьдесят.
Каждый, кто продолжает учиться, остается молодым. Самая великая вещь на свете - оставаться молодым.»

 ,

vim ()

Survival horror игры

Форум — Games

Во что можно поиграть ночью одному дома в состоянии дереализации, что бы стало максимально стремно? Скачал scp – containment breach, думаю будет не плохо. Ещё на памяти есть игра, где надо с фонариком ходить по лесу и скрываться от маньяка, не помню только названия. Есть ещё варианты?

Перемещено beastie из talks

 , ,

tm4ig ()

Классические труды по финансам, домоводству, коммерции

Форум — Talks

Хочу обратиться к мудрости прошедших эпох, возможно мне удастся почерпнуть от туда знаний, как меньше тратить и больше иметь. Итак, ЛОР, подскажи мне трактатов, в которых бы римские, греческие, английские, итальянские, немецкие авторы давали бы наставления молодым поколениям по вышеупомянутым вопросам. Что-то вроде трудов Пачоли и Макиавелли.

cuki ()

[/r/][Post-rock] Посоветуйте

Форум — Talks

Уже месяца 3 как влюбился в данный стиль, однако слушаю не так много групп. Всего 3 пока есть в плейлисте: 65 days of static, Mono, Explosions in the sky.
Есть у нас любители? Посоветуйте что ещё послушать.
Очень хочется что-то больше в стиле Mono.

tia ()

Книга «Наглядная статистика. Используем R!» в свободном доступе.

Новости — Документация
Группа Документация

По истечению срока отчуждения имущественных прав в пользу издателя в свободный читательский доступ поступила книга «Наглядная статистика. Используем R!»

Книга доступна на страничке Алексея Шипунова, одного из авторов книги: http://ashipunov.info/shipunov/software/r/r-ru.htm.

>>> Подробности

 , , , ,

psv1967 ()

Видеолекции по теорфизике под свободной лицензией (update)

Новости — Документация
Группа Документация

Силами кафедры теоретической физики физического факультета Новосибирского государственного университета были записаны лекции по физике. Исходные видеофайлы выложены в открытый доступ под лицензией CC-BY-SA 4.0.

В дополнение к основной площадке лекции можно получить с использованием ниже перечисленных торрент-файлов, а также с помощью dc++ сети. Круглосуточная раздача ведётся пользователем Evgueni[serv] на трекере DCMagnets.RU (dchub://178.130.0.205:411).

Первоначальная новость тут

>>> Подробности

 

Evgueni ()

Видеолекции по теорфизике под свободной лицензией

Новости — Документация
Группа Документация

Силами кафедры теоретической физики физического факультета Новосибирского государственного университета были записаны лекции по физике. Исходные видеофайлы выложены в открытый доступ под лицензией CC-BY-SA 4.0.

На этот момент доступны для скачивания:

Предупреждение: При скачивании будет возникать предупреждение об отсутствии доверия к сертификату (узлу). Игнорируйте его — это «фича» доступной площадки.

>>> Исходники

 

Evgueni ()

изучение электроники

Форум — Talks

Господа, вопрос короток.

Какие именно книги нужно изучить, чтобы понять базу электротехники, радиолюбительства, you name it.

Сразу цель: собирать бытовую автоматику. Механических роботов в том числе.

Если есть какие-то хорошие ресурсы, которые отвечают именно на этот вопрос, прошу ссылок (позволит не перечислять названия учебников, а отделаться ссылочкой).

Желательно, учебники, туториалы, итп. Ориентироваться по справочникам, в которых ничего не понимаешь - это жесть..

Поступить на физфак не предлагать :-)

Пасиба заранее

stevejobs ()

[математика] [книги]

Форум — Talks

Всем привет!

Недавно закончил технический вуз, но многие разделы математики нам просто не давали. Есть острое желание подтянуть алгебру, теорию множеств, теорию категорий и \lambda -исчисление в объеме, необходимом для погружения с головой в Haskell. Что посоветуете почитать?

ymn ()

С чего начать изучение электроники

Форум — Talks

Решил таки наконец то попробовать себя в микроэлектронике (вообще хотел давно, но всё как-то руки не доходили).
Конечная цель - создание программируемых система («умный дом», различные датчики, портативная электроника) + желательно починка чего нибудь простого.
Однако мой текущий уровень практически на нуле (пайка джостиков сеги + подобные простые мелочи), в связи с чем хотелось бы попросить совета с чего вообще начинать знакомство со всем этим. Приветствуются истории успеха.

cast Zubok

P.S. Вдруг кто знает. А реально ли будет поступить на Аспирантуру за границей при наличии Российского высшего образования (бакалавриат) по такой специальности?

 , ,

najlus ()