Стокгольмского синдрома пост

[vitus_wagner]

Тут я подумал, что в желании современного андроида сделать SD-карту либо недоступной для записи, либо недоступной для чтения на других устройствах есть некая сермяжная правда.

Модель угроз данным на сотовом телефоне, как я теперь убедился, должна учитывать утерю телефона целиком. Поэтому считать что данные на SD-карте сохраннее (потому что при поломке телефона карта с данными оттуда просто вынется), чем во внутренней памяти телефона, не следует.

Поэтому явный отказ сделать данные, которые пишутся на карту, недоступными на других устройствах как бы намекает на то, что бэкапиться надо за пределы корпуса телефона.

Хотя, конечно, эти сволочи сделали все возможное чтобы помешать пользователям выстраивать собственную независимую от них инфраструктуру.

Comments

[jurgen_svoloch]

бекап в облако - это конечно неплохо.
но все-таки хотелось бы сохранить возможность сливать СВОЮ инфу на СВОЙ комп, а не куда-то там))

[vitus_wagner]

Вот я сейчас пытаюсь выстроить именно такую инфраструктуру.
Пока получается в два приема - сначала родной бэкап на SD-карту, потом SMBSync2 по локальной сети синхронизирует место хранения бэкапов с компьютьтером.

[maxwolf]

А вы пробовали такой бэкап ресторить? На нерутованном приборе... Я вот уже три раза пытался переезжать на новый телефон через бэкап, и каждый раз испытвал аццкий гемор :(

[vitus_wagner]

У меня есть подозрения, что не надо его ресторить. Его надо расковырять, извлечь нужную информацию, а потом ее по частям применять. Впрочем это много в каких вебресурсах описано.

При переезде на новый телефон там будет новая версия андроида, а в ней - другие приложения.

[maxwolf]

Бэкап, который не надо ресторить - это, несомненно, прорывная технология, но я всё-таки надеюсь по старинке... Даже согласен системные параметры заново настраивать, если версия OS обновилась. Приложений, которые бы при этом кардинально изменились, я что-то не припомню, а вот дисциплина работы с картой памяти в системе кардинально менялась уже пару раз точно. И доживши до восьмой версии, она всё также страшна и крива, в том числе потому, что "надо расковырять". Пичалька, короче...

[vitus_wagner]

Ну вот я сейчас с 4.2 на 6.0 переходил - все поменялось. В смысле - появился вместо кривого "падучего медведя" нормальный sshd, вместо коннект-бота стало возможным поставить этот самый termux, вместо CardDAvSync DAVDroid ну так далее, и тому подобное.

То есть уйма старых и неудобных приложений просто стала не нужна. И смысл их восстанавливать-то?

[alll]

"Учитывать" - это очевидно "включать наравне с другими", а не "готовиться только к этому". :)

Опять же, если телефон утерян, то чем поможет потеряшке невозможность прочитать на другом телефоне? Родной-то телефон точно так же, как и карта - в руках у злодея.

[vitus_wagner]

Потеряшке поможет то, что он не закладывался на то, что при невозможности использовать телефон сохранится возможность использовать карту.

[alll]

украденный телефон невозможно использовать? зачем тогда их крадут в промышленных количествах? :)

с другой стороны, если таки действительно невозможно (хотя бы для съёма "старой" информации), то шифрование тома, расположенного на съёмной карте, решает обе проблемы - и с поломкой телефона, и с его кражей

[vitus_wagner]

Законному владельцу невозможно использовать украденный телефон. Потому что он не у него.

[vitus_wagner]

Шифрование тома ничего не решает, а только мешает.
Следует запомнить что ты - неуловимый джо, твои фотки и твои книжки никому не нужны, кроме тебя. Поэтому следует в первую очередь заботиться о ДОСТУПНОСТИ данных любой ценой для себя, а только во вторую - о недоступности их для других.

У меня в телефоне есть килобайт 20 данных, которые действительно должны быть недоступными для других - база паролей, клиенские ключи ssh и банковских приложений. Ну так они все все равно шифруются отдельно и независимо от всяких шифрованных томов.

[dikem]

"твои фотки и твои книжки никому не нужны" +100500, но это временно.
Бешеный принтер уверенно выгребает в мейнстрим криминализации софта и контента. Конфискационный потенциал в этом сегменте огромный, когда властям надоест бегать с топором за старушками то на него неизбежно обратят внимание.

[vitus_wagner]

Первый софт, который криминализуется в таких случаях - это криптографический. В UK вот уже сейчас посадить могут за невыдачу ключа шифрования. А в США притянут за уши неуважение к суду. Так что от law enforcement шифрование карты в телефоне никак не защиает, более того, наличие шифрованной файловой системы является дополнительной угрозой. И хрен ты ихним экспертам объяснишь что это производитель операционной системы включил шифрование по умолчанию и ручки выключить не дал.

[dikem]

UK в правовом отношении не показатель. Страна победившего бандитизма, чо хотят, то творят, главное чтоб мантия и парик на месте были.

[vitus_wagner]

Э, где у нас сейчас не страна победившего бандитизма? Государство это по определению стационарный бандит.

[dikem]

"Стационарный бандит", если задуматься, оксюморон. Самые веселые империи были ультрамобильными бандитами-мародерами, хапнувшими по случаю технологический базис более развитых государств. Добегали-доплывали до границ ойукумены и потом деградировали в три поколения от перенаселенности бандитов, потому что больше грабить некого и молодых бандитов услать некуда. Системный бандитизм неотделим от кочевой миграции, кабанчики-баранчики должны созреть-ошерстится между набегами, иначе армагедец и геноцид. Наличие резервных аэродромов и средств доставки туда тушек и хабара вроде как было и остается ключевым признаком элитариев, то бишь вурдалаков кушающих детей.

[pargentum]

Данные в украденном телефоне должно быть использовать затруднительно. И чем затруднительнее, тем лучше.

[vitus_wagner]

В 90% случаев тебе плевать, удобно ли вору использовать данные. Несколько обращений в соответствующие службы поддержки и все павроли, которые там были, а заодно и сим-карта - превращаются в тыкву. А никаких других данных, которые были бы интересны вору, там скорее всего нет. Не говоря уж о предоставляемых гуглем функциях блокировки украденного телефона.

Поэтому нужно думать о том, где ты возьмешь другую копию тех данных, которые были в украденном телефоне, и как ты их будешь использовать пока у тебя вообще никакого телефона нет или как их максимально удобно перенести на новый телефон. При этом основная проблема в том, что "максимально удобно" это не "в точности как было". Потому что, как обсуждалась в предыщущем посте, про тостеры, эргономика бытового прибора за время, прошедшее между покупкой прошлого и нынешнего устройства существенно изменилась.

Опять же - пароли поменяны и восстанавливать старую копию базы паролей нет никакого смысла, нужна модифицирвоанная.

[pargentum]

Мне не плевать. Я не хочу, чтобы он их мог использовать.

А насчет бэкапа за пределами телефона - а с чего вы решили, что я против этого возражаю (или это мне показалось, что вы решили?)? Мне наоборот, даже удивительно, что вы ради такой очевидной мысли целый постинг написали.

[vitus_wagner]

В моей модели угроз вероятность кражи телефона идет ниже вероятности его утопления в болоте (как с последующим доставанием, так и без оного) или необратимого механического повреждения.
Поэтому не вижу смысла ради борьбы с потенциальным вором ухудшать и без того хреновенькую usability телефона.

А проблема бэкапа телефона заключается в том, что данные из бэкапа необходимо уметь использовать без восстановления бэкапа на аналогичном аппарате. Поэтому лучше использовать не бэкап, а какой-то другой способ распределенной синхронизации.

[alll]

Отличная идея! Давайте тогда уже вставим в телефон гильотинку, отрубающую взявшему его в руки пальцы по самые гланды. А что владелец телефона первым останется без рук, так это ж для его безопасности. :)

[burbilog]

Все очень просто и без конспирологии -- подавляющее большинство sd карт является говном и источником глюков. А рядовые пользователи, нарвавшись на глюки и зависоны, виноватят не карточку, а производителя телефона. Убрав слот, производитель избавляется от серьезного головняка и одного из главных источников жалоб пользователей. Возможность сегментировать рынок идет к этому приятным бонусом, но не более того.

А то, что кто-то из продвинутых юзеров потерял возможность делать что-то нестандартное является приемлемым collateral damage.

[vitus_wagner]

Вы по-моему про что-то не про то. Слот в телефоне есть. Но писать туда нельзя. Каждое приложение имеет право писать только в свою директорию, что лишает запись всякого смысла. Поскольку смысл любого компьютера и смартфона тоже в том чтобы одну и ту же информацию обрабатывать разными программами.

Для того чтобы писать на карту было можно, нужно ее отформатировать в зашифрованную файловую систему. После чего ее нельзя будет вынуть из телефона и почитать в более другом устройстве. В том числе в другом телефоне той же модели.

Понятно зачем это сделано гуглем. Чтобы приложения обменивались информацией друг с другом через сторонние (предпочтительно гугловские) сервера.

Но лично я считаю что надо при настройке смартфона расчитывать на то, что сотовой связи по умолчанию нет. Если есть какой-то канал во внешний мир, хоть сотовый, хоть wi-fi это везение, которым надо уметь воспользоваться, но расчитывать на него - нельзя.

И еще - в тех случаях когда сеть есть, в этой сети, как правило, есть устройство с большим экраном и удобной клавиатурой. Поэтому обмен данными с телефоном по сети не должен требовать тыканья пальцем в телефон. Разве что однократно - включить доступ для указнного внешнего устройства.

[burbilog]

А, да. Это я про нынешнюю тенденцию вообще нафиг убирать слот.

А фигню с правами на запись они замутили ради "безопасности" в таком виде, в каком они ее понимают. Надо сказать, что в последних андроидах появилась возможность выбирать каталог для записи на карточке, но через жопу и приложение, дабы этой возможностью воспользоваться, должно уметь в эту жопу залезать. Т.е. все старые программы в пролете.

[vitus_wagner]

Сначала напринимают на маркет всяких троянов, а потом начинают разглагольствовать про безопасность приложений друг от друга.

[burbilog]

Ну, от троянов в маркете защититься невозможно, поскольку в любом исполняемом коде может спать любой уникальный троян. Маркет, не маркет, какая разница?

Просто разделение пространства надо было проработать как следует, а не выкатывать в продакшн сиюминутные "решения" проблемы.

[vitus_wagner]

А вот нефиг позволять грузить исполняемый код. Только исходники и аудитить. Нашу почту у них читать мощностей искуссвтенного интеллекта хватает, а исходники значит нет?

Проблема в том что только пользователь может решить, какими приложениями он хочет обрабатывать данный конкретный файл данных. Поэтому никакого разделения простраства быть не может.

А может быть только соответствие приложения своему описанию или наличие в нем недокументированных возможностей.

[burbilog]

А вот нефиг позволять грузить исполняемый код. Только исходники и аудитить. Нашу почту у них читать мощностей искуссвтенного интеллекта хватает, а исходники значит нет?

Если бы гугл выкатил требование "исходники и аудитить", то его рыночная ниша была бы сейчас 0.00001%, и софта под него было бы ровно столько же. И полторы железки, хорошо если в продаже. "Разработчики, разработчики, разработчики!" (c). Абсолютное большинство разработчиков разрабатывает не для того, чтобы почесать свое опенсорсное эго, а чтобы на своем труде заработать. Что по определению подразумевает отсутствие у остальных доступа к исходникам.

А мы бы колдубасились бы с мелкомягкими поделиями, за отсутствием альтернатив, и все нынешние проблемы андроида казались бы недостижимым раем на фоне очередного кидка и полного переписывания под новую систему, в пятый раз...

Проблема в том что только пользователь может решить, какими приложениями он хочет обрабатывать данный конкретный файл данных. Поэтому никакого разделения простраства быть не может.

Ну и пусть решает, выдавая разрешения средствами системы с вменяемым интерфейсом. И без переделки приложений. Пусть даже на уровне лонгтапа на папку в системном файловом менеджере и выбора приложений, которым можно.

[vitus_wagner]

У Эппла, насколько я помню такое требование есть. И его доля рынка существенно больше 0.00001%.

И, кстати, больше всего денег зарабатывают те разработчики, у которых есть внешний аудит исходников. От того что исходники увидела сертификационная лаборатория, еще не значит что их увидели "все остальные".

Скорее даже наоборот. У нас, например, критические с точки зрения обеспечения возможности работы с персональными данными патчи к постгресу - ни разу не open source. Хотя обсуждалась идея их открыть и скооперироваться с заокеанскими коллегами из NSA (причем обсуждалась сильно позже 2014 года), она так и не реализовалась.

[alll]

> Что по определению подразумевает отсутствие у остальных доступа к исходникам.

Вы таки не поверите, но деловая переписка (в том числе через e-mail и мессенжеры) подразумевает примерно то же "отсутствие у остальных доступа". Равно как и хранение данных, и хостинг серверов. Однако гуглопочту и гуглооблако (ну или амазоновское облако) используют далеко не 0.00001% вполне коммерческих контор.

[sur_kg]

Вот сколько Вы мучаетесь с гуглограничениями, и ни разу не задались вопросом - не проще ли иметь отдельный смартфон для банк-клиентов и других секурных данных, а основной - порутить?

2

[phd_ru]

Я сегодня задумался об этом в другом контексте. Мне нужно поставить воцап и мбыть вайбер. Ну не ставить же их на основную симку. Задумался о покупке второго телефона и альтернативной симки.

[vitus_wagner]

Задавался. НЕ ПРОЩЕ.
Во-первых, вопрос следует формулировать не "других секьюрных данных", а "других данных, секьюрностью которых управляете не вы, а криворукие жопоголовые идиоты".

Секьюрными-то (относительно конечно) как раз будут данные на рутованном телефоне, а не наоборот.

Во-вторых в телефоне все равно есть сим-карта, секьюрностью которой управляют криворукие жопоголовые идиоты из сотовой компании.

В-третьих, в моей жизни был период когда я таскал одновременно устройство, которое контролирую я, но которое не умеет коннектиться к сотовой сети (Nokia N800), и устройство, которое умеет коннектиться к сотовой сети, но я ничего там контролировать не могу (кномпочный телефон). Неудобно.

В-четвертых, проаудитить весь AOSP у меня все равно времени и сил нету.

[inkelyad]

Так, к сожалению, сейчас устройств все равно должно быть два.
Так как получать SMS с одноразовыми паролями (банки давно пора штрафовать за использование этого способа) на тот же смарт, где банк-клиент стоит - несколько опрометчиво. Поглядеть на эти SMS лезут все кому не лень.

[vitus_wagner]

Не согласен. На телефоне просто не должно быть "всех кому не лень". Все приложения на телефоне должны быть доверенными. И самым недоверенным из них - клиент-банк (см комментарий выше про криворуких жопоголовых идиотов, которые его пишут).

Вообще я тут на 4pda.ru нашел замечательный скриптик который сносит с рутованного телефона все гугловские приложения начисто. Включая клавиатуру (а у меня все равно хакерская стоит). Надо применить, специально ради этого зарутовав телефон, но он, к сожалению сносит еще и лаунчер. А я пока себе не присматривал альтернативного лаунчера - меня родной в общем-то устраивает.

[inkelyad]

Так все равно два получается. Одно с доверенными приложениями, которые в SMS не лезут и поэтому мы на это SMS от банка получаем. Другое - с не совсем доверенными.

[vitus_wagner]

По хорошему счету. надо бы для не совсем доверенных приложений LXC-контейнер(ы) забубенить. Поскльку снижение юзабилити от необходимости таскать два телефона, следить за зарядом двух аккумуляторов и т.д. перевешивает все секьюрити риски.

[vitus_wagner]

Кстати, проще поискать способ обмануть криворуких жопоголовых идиотов, которые пытаются запретить своему приложению работать на рутованном телефоне.

И возможно, так и стоит сделать, хотя по оценке процедура рутования телефона по сложности соизмерима со всеми наворотами которые я тут описывал, а сама по себе ничего не дает - нужно будет еще потратить столько же усилий, чтобы даваемыми ей возможностями воспользоваться.