konstrukt
Информационная безопасность/Пробив-Сервис
Доверенный продавец
Проверенный продавец
Сервис
Пробив сервис
Подтвержденный
- Сообщения
- 170
- Реакции
- 45
- Продажи
- 6
- Покупки
- 13
- Кешбек
- 9.25$
Приветствую, поговорим о тематике данного форума.
Действия при задержании: полный разбор
Концепция боевого телефона
Боевой телефон это не основной телефон с дополнительными настройками. Это отдельное устройство, отдельная SIM, отдельные аккаунты, отдельная жизнь. Между ним и твоей реальной личностью не должно быть ни одной точки пересечения — ни технической, ни физической, ни поведенческой.
Главная ошибка которую делают все: покупают отдельный телефон, ставят на него приложения со своего основного аккаунта, носят оба телефона вместе. Это не боевой телефон — это второй телефон который напрямую связан с первым.
Шаг 1: Выбор устройства
Pixel 7a или 8a — оптимальный выбор. Недорогие, поддерживают GrapheneOS, имеют Titan M2 чип для аппаратной безопасности.
Купить за наличные. Не в магазине где есть карта лояльности, не через онлайн заказ, не картой. Наличные в магазине без камер на кассе или с минимальным покрытием. Идеально — рынок, небольшой магазин электроники, комиссионка.
Не включать устройство рядом с основным телефоном. С момента покупки два устройства никогда не находятся в одном месте одновременно — иначе они связываются через вышки сотовой связи.
Шаг 2: SIM карта
Отдельная SIM без привязки к реальным данным. В России и ряде стран SIM официально требует паспорт — это означает что официально анонимную SIM купить сложно. Практические варианты:
Роуминговая SIM другой страны — в ряде стран SIM продаётся без документов. Туристические SIM карты.
Виртуальный номер — для регистрации приложений если голосовые звонки не нужны. Сервисы типа MySudo или JMP.chat дают номера без привязки к личности, оплата криптовалютой.
Физическая SIM — активировать первый раз в месте которое не ассоциируется с тобой. Без основного телефона рядом. Не дома, не на работе, не в местах где бываешь регулярно.
Шаг 3: Установка GrapheneOS
Скачать веб инсталлер с grapheneos.org. Подключить Pixel к компьютеру через USB, следовать инструкциям инсталлера. Процесс занимает 15-20 минут.
После установки обязательно: заблокировать bootloader через инсталлер. Это критически важно — разблокированный bootloader открывает векторы атаки при физическом доступе.
Шаг 4: Первоначальная настройка
При первом запуске не подключаться к домашнему WiFi и не вставлять основную SIM. Использовать мобильные данные боевой SIM или публичный WiFi который не ассоциируется с тобой.
Никакого Google аккаунта. Никаких аккаунтов связанных с реальной личностью вообще.
Настройки безопасности сразу после установки:
Auto reboot — Settings → Security → Auto reboot. Установить на 4-6 часов. Устройство автоматически перезагружается и переходит в BFU состояние если не использовалось. После перезагрузки только PIN работает, биометрия отключена.
USB protection — Settings → Security → USB accessories. Установить в режим "Don't allow new USB accessories when locked". Это блокирует Cellebrite и аналоги которые работают через USB.
Duress PIN — Settings → Security → Duress password. Отдельный PIN который при вводе стирает все данные на устройстве. Выглядит как обычная разблокировка. Запомнить, не записывать.
Биометрия — можно включить для удобства но понимать что при физическом контакте её могут применить принудительно. Если риск высокий — только PIN.
Шаг 5: Профили
Основной профиль — минимум приложений, никаких аккаунтов. Только самое необходимое.
Дополнительный профиль — для более чувствительной активности. Settings → System → Multiple users → Add user. Данные профилей изолированы друг от друга. При изъятии устройства дополнительный профиль заблокирован и зашифрован отдельно.
Шаг 6: Приложения
F-Droid — основной источник приложений. Установить с f-droid.org, все приложения открытые без трекеров.
Tor Browser — для браузинга. Скачать с torproject.org через F-Droid или напрямую.
SimpleX или Briar — для коммуникаций. Нет идентификатора пользователя, нет центрального сервера.
Orbot — системный Tor прокси который направляет трафик всех приложений через Tor. Settings → VPN mode для перенаправления всего трафика.
Mullvad VPN — если нужен VPN поверх или вместо Tor. Оплата Monero или наличными через посредника.
Ничего лишнего. Каждое приложение это дополнительная поверхность атаки.
Шаг 7: Сетевые настройки
Network permission — в GrapheneOS каждому приложению можно запретить сеть на уровне системы. Закрыть сеть всем приложениям которым она не нужна.
Private DNS — Settings → Network → Private DNS. Установить на dns.mullvad.net или аналог который не логирует запросы.
WiFi — не подключаться к сетям которые ассоциируются с тобой. Домашний WiFi, рабочий WiFi — никогда. Публичные сети или мобильные данные.
MAC адрес — GrapheneOS рандомизирует MAC по умолчанию для каждой сети. Убедиться что включено: Settings → Network → WiFi → конкретная сеть → Randomized MAC.
Физическое поведение
Два телефона никогда вместе. Основной телефон дома когда работаешь с боевым. Боевой телефон не берёшь туда где бываешь с основным.
Боевой телефон не появляется по адресам связанным с тобой — дом, работа, места регулярного посещения.
Выключать когда не используется. Не просто блокировать экран — выключать. BFU состояние максимально защищено.
Что делать при задержании
За несколько секунд до контакта
Если есть время — выключить телефон. Кнопка питания, выключить. Это переводит устройство в BFU — данные зашифрованы, ключи нигде, Cellebrite практически бессилен на актуальном Pixel с GrapheneOS.
Если выключить не успеваешь — быстро отключить биометрию. На GrapheneOS: зажать кнопку питания, появится меню, нажать Lockdown. Биометрия отключена, только PIN. Или пять раз быстро нажать кнопку питания — тот же эффект.
При требовании разблокировать
Знать свои права заранее — в момент задержания поздно изучать законодательство.
В большинстве стран сообщать пароль не обязательно — это право на защиту от самообвинения. Биометрию могут применить принудительно физически — палец, лицо. PIN принудительно не получить без твоего участия.
Если давление сильное и выхода нет — Duress PIN. Вводишь его вместо обычного PIN, устройство выглядит как будто разблокируется, но запускает полное стирание данных.
Что говорить
Минимум. Имя и документы если требует закон. Остальное — только с адвокатом. Не объяснять зачем два телефона, не рассказывать что на устройстве, не соглашаться на обыск без постановления если есть такое право по закону.
Не врать — это отдельная статья в большинстве юрисдикций. Молчать законно, врать нет.
После задержания
Если устройство изъято — считать всё что на нём потенциально скомпрометированным. Менять все пароли и ключи которые теоретически могли быть доступны. Предупреждать людей с которыми коммуницировал через это устройство.
Главное что нужно понять
Техника это только часть защиты. GrapheneOS на Pixel это отличное железо и отличный софт. Но если ты носишь боевой телефон вместе с основным, если подключаешь его к домашнему WiFi, если на нём есть хоть один аккаунт связанный с тобой — вся техническая защита бесполезна.
Безопасность это поведение прежде всего. Железо и софт закрывают технические векторы. Поведение закрывает всё остальное.
Все это всего лишь теория, на практике все может быть по-другому, ввели duress pass и ваш телефон снова чистый.
Можем подробно разобрать каждую главую данной статьи, пишите в комментариях и обсудим.
Действия при задержании: полный разбор
Концепция боевого телефона
Боевой телефон это не основной телефон с дополнительными настройками. Это отдельное устройство, отдельная SIM, отдельные аккаунты, отдельная жизнь. Между ним и твоей реальной личностью не должно быть ни одной точки пересечения — ни технической, ни физической, ни поведенческой.
Главная ошибка которую делают все: покупают отдельный телефон, ставят на него приложения со своего основного аккаунта, носят оба телефона вместе. Это не боевой телефон — это второй телефон который напрямую связан с первым.
Шаг 1: Выбор устройства
Pixel 7a или 8a — оптимальный выбор. Недорогие, поддерживают GrapheneOS, имеют Titan M2 чип для аппаратной безопасности.
Купить за наличные. Не в магазине где есть карта лояльности, не через онлайн заказ, не картой. Наличные в магазине без камер на кассе или с минимальным покрытием. Идеально — рынок, небольшой магазин электроники, комиссионка.
Не включать устройство рядом с основным телефоном. С момента покупки два устройства никогда не находятся в одном месте одновременно — иначе они связываются через вышки сотовой связи.
Шаг 2: SIM карта
Отдельная SIM без привязки к реальным данным. В России и ряде стран SIM официально требует паспорт — это означает что официально анонимную SIM купить сложно. Практические варианты:
Роуминговая SIM другой страны — в ряде стран SIM продаётся без документов. Туристические SIM карты.
Виртуальный номер — для регистрации приложений если голосовые звонки не нужны. Сервисы типа MySudo или JMP.chat дают номера без привязки к личности, оплата криптовалютой.
Физическая SIM — активировать первый раз в месте которое не ассоциируется с тобой. Без основного телефона рядом. Не дома, не на работе, не в местах где бываешь регулярно.
Шаг 3: Установка GrapheneOS
Скачать веб инсталлер с grapheneos.org. Подключить Pixel к компьютеру через USB, следовать инструкциям инсталлера. Процесс занимает 15-20 минут.
После установки обязательно: заблокировать bootloader через инсталлер. Это критически важно — разблокированный bootloader открывает векторы атаки при физическом доступе.
Шаг 4: Первоначальная настройка
При первом запуске не подключаться к домашнему WiFi и не вставлять основную SIM. Использовать мобильные данные боевой SIM или публичный WiFi который не ассоциируется с тобой.
Никакого Google аккаунта. Никаких аккаунтов связанных с реальной личностью вообще.
Настройки безопасности сразу после установки:
Auto reboot — Settings → Security → Auto reboot. Установить на 4-6 часов. Устройство автоматически перезагружается и переходит в BFU состояние если не использовалось. После перезагрузки только PIN работает, биометрия отключена.
USB protection — Settings → Security → USB accessories. Установить в режим "Don't allow new USB accessories when locked". Это блокирует Cellebrite и аналоги которые работают через USB.
Duress PIN — Settings → Security → Duress password. Отдельный PIN который при вводе стирает все данные на устройстве. Выглядит как обычная разблокировка. Запомнить, не записывать.
Биометрия — можно включить для удобства но понимать что при физическом контакте её могут применить принудительно. Если риск высокий — только PIN.
Шаг 5: Профили
Основной профиль — минимум приложений, никаких аккаунтов. Только самое необходимое.
Дополнительный профиль — для более чувствительной активности. Settings → System → Multiple users → Add user. Данные профилей изолированы друг от друга. При изъятии устройства дополнительный профиль заблокирован и зашифрован отдельно.
Шаг 6: Приложения
F-Droid — основной источник приложений. Установить с f-droid.org, все приложения открытые без трекеров.
Tor Browser — для браузинга. Скачать с torproject.org через F-Droid или напрямую.
SimpleX или Briar — для коммуникаций. Нет идентификатора пользователя, нет центрального сервера.
Orbot — системный Tor прокси который направляет трафик всех приложений через Tor. Settings → VPN mode для перенаправления всего трафика.
Mullvad VPN — если нужен VPN поверх или вместо Tor. Оплата Monero или наличными через посредника.
Ничего лишнего. Каждое приложение это дополнительная поверхность атаки.
Шаг 7: Сетевые настройки
Network permission — в GrapheneOS каждому приложению можно запретить сеть на уровне системы. Закрыть сеть всем приложениям которым она не нужна.
Private DNS — Settings → Network → Private DNS. Установить на dns.mullvad.net или аналог который не логирует запросы.
WiFi — не подключаться к сетям которые ассоциируются с тобой. Домашний WiFi, рабочий WiFi — никогда. Публичные сети или мобильные данные.
MAC адрес — GrapheneOS рандомизирует MAC по умолчанию для каждой сети. Убедиться что включено: Settings → Network → WiFi → конкретная сеть → Randomized MAC.
Физическое поведение
Два телефона никогда вместе. Основной телефон дома когда работаешь с боевым. Боевой телефон не берёшь туда где бываешь с основным.
Боевой телефон не появляется по адресам связанным с тобой — дом, работа, места регулярного посещения.
Выключать когда не используется. Не просто блокировать экран — выключать. BFU состояние максимально защищено.
Что делать при задержании
За несколько секунд до контакта
Если есть время — выключить телефон. Кнопка питания, выключить. Это переводит устройство в BFU — данные зашифрованы, ключи нигде, Cellebrite практически бессилен на актуальном Pixel с GrapheneOS.
Если выключить не успеваешь — быстро отключить биометрию. На GrapheneOS: зажать кнопку питания, появится меню, нажать Lockdown. Биометрия отключена, только PIN. Или пять раз быстро нажать кнопку питания — тот же эффект.
При требовании разблокировать
Знать свои права заранее — в момент задержания поздно изучать законодательство.
В большинстве стран сообщать пароль не обязательно — это право на защиту от самообвинения. Биометрию могут применить принудительно физически — палец, лицо. PIN принудительно не получить без твоего участия.
Если давление сильное и выхода нет — Duress PIN. Вводишь его вместо обычного PIN, устройство выглядит как будто разблокируется, но запускает полное стирание данных.
Что говорить
Минимум. Имя и документы если требует закон. Остальное — только с адвокатом. Не объяснять зачем два телефона, не рассказывать что на устройстве, не соглашаться на обыск без постановления если есть такое право по закону.
Не врать — это отдельная статья в большинстве юрисдикций. Молчать законно, врать нет.
После задержания
Если устройство изъято — считать всё что на нём потенциально скомпрометированным. Менять все пароли и ключи которые теоретически могли быть доступны. Предупреждать людей с которыми коммуницировал через это устройство.
Главное что нужно понять
Техника это только часть защиты. GrapheneOS на Pixel это отличное железо и отличный софт. Но если ты носишь боевой телефон вместе с основным, если подключаешь его к домашнему WiFi, если на нём есть хоть один аккаунт связанный с тобой — вся техническая защита бесполезна.
Безопасность это поведение прежде всего. Железо и софт закрывают технические векторы. Поведение закрывает всё остальное.
Все это всего лишь теория, на практике все может быть по-другому, ввели duress pass и ваш телефон снова чистый.
Можем подробно разобрать каждую главую данной статьи, пишите в комментариях и обсудим.
