Полное руководство по мобильной анонимности и безопасности на Android

Фундамент анонимности: безопасное приобретение номера и базовая подготовка устройства

Добро пожаловать в курс «Полное руководство по мобильной анонимности и безопасности на Android». Мы начинаем наше погружение не с установки хакерских утилит или настройки Tor, а с самого начала — с физического уровня. Никакое программное обеспечение не спасет вас, если само устройство или SIM-карта скомпрометированы на этапе приобретения.

Анонимность — это не состояние, а процесс. Это набор привычек и технических решений, которые усложняют идентификацию вашей личности. В этой статье мы заложим фундамент, на котором в следующих уроках будем строить защищенную крепость, используя Termux, NetGuard и другие инструменты.

1. Выбор и приобретение устройства

Первое и главное правило: никогда не используйте свой основной личный смартфон для анонимных задач.

Ваш личный телефон знает о вас всё: где вы спите (по геолокации ночью), с кем общаетесь, ваши биометрические данные и историю покупок. Смешивание «чистой» и «грязной» активности на одном устройстве — это грубейшая ошибка операционной безопасности (OpSec).

Критерии выбора устройства

Для наших целей идеально подходят смартфоны на базе Android. Почему не iOS? Система Apple слишком закрыта, не позволяет глубоко модифицировать сетевые настройки и ограничивает работу таких инструментов, как фаерволы и терминалы, без Jailbreak (который снижает безопасность).

При выборе Android-смартфона ориентируйтесь на следующие характеристики:

* Популярность модели: Чем популярнее телефон, тем легче затеряться в толпе (меньше уникальность отпечатка устройства). * Поддержка кастомных прошивок: Наличие официальной поддержки LineageOS или GrapheneOS (для Pixel) будет огромным плюсом для будущих уроков. * Отсутствие привязки к оператору: Телефон должен быть разблокирован (unlocked).

Процесс покупки

Покупка нового телефона в официальном магазине с оплатой банковской картой оставляет цифровой след, связывающий IMEI устройства с вашей личностью.

> Анонимность умирает в момент, когда вы оплачиваете средство анонимности своей именной картой.

Правильный алгоритм покупки:

Вторичный рынок: Используйте доски объявлений. Это разрывает цепочку поставок от производителя к вам.

Оплата наличными: Только наличные средства. Никаких переводов на карту продавца.

Личная встреча: Встречайтесь в людном месте, но не рядом с вашим домом или работой. Оставьте свой основной телефон дома или выключите его заранее, чтобы биллинг сотового оператора не зафиксировал, что ваш основной телефон и новый телефон находились в одной точке в одно время.

2. SIM-карта: Ахиллесова пята анонимности

SIM-карта — это самый опасный элемент в мобильной анонимности. Она постоянно сообщает вышкам сотовой связи ваше местоположение через триангуляцию, даже если GPS выключен.

!Схема триангуляции: определение местоположения телефона по времени прохождения сигнала до трех ближайших вышек сотовой связи.

Чтобы понять, почему это опасно, рассмотрим упрощенную физическую модель определения расстояния до вышки. Оператор знает время, за которое сигнал доходит от телефона до вышки.

Расстояние вычисляется по формуле:

Где — расстояние от телефона до вышки, — скорость света (скорость распространения радиоволн, примерно м/с), а — время прохождения сигнала. Зная расстояние до трех разных вышек, оператор строит пересечение трех окружностей и находит ваши координаты с точностью до нескольких десятков метров.

Варианты получения номера

Для регистрации в мессенджерах (Telegram, WhatsApp) и сервисах вам понадобится номер. Есть два основных пути:

#### А. Физическая «серая» SIM-карта Это SIM-карта, оформленная на дропа (подставное лицо) или юридическое лицо, которую можно купить в переходах, на радиорынках или специализированных форумах.

* Плюсы: Полноценная работа интернета вдали от Wi-Fi, возможность принимать звонки, долговечность (если пополнять баланс). * Минусы: Риск, что карту заблокируют; риск, что карта уже «засвечена» в криминале; необходимость физически вставлять её в телефон (риск деанонимизации по IMEI).

#### Б. Виртуальные номера (SMS-активаторы) Сервисы, позволяющие купить прием одного SMS для регистрации.

* Плюсы: Дешево, не нужно встречаться с продавцами, нет физической SIM-карты в телефоне (невозможно отследить по вышкам). * Минусы: Номер временный. Если мессенджер «вылетит» и потребует повторное SMS, вы потеряете доступ к аккаунту навсегда.

Рекомендация: Для максимальной безопасности используйте устройство без SIM-карты (режим полета всегда включен), подключаясь к сети только через Wi-Fi (с использованием VPN/Tor, о чем мы поговорим позже). Для регистраций используйте виртуальные номера, но сразу настраивайте облачный пароль (2FA), чтобы аккаунт не могли украсть.

3. Базовая подготовка устройства (Первое включение)

Вы купили устройство и принесли его в безопасное место (не домой). Что дальше?

Сброс до заводских настроек (Factory Reset)

Даже если продавец сказал, что сбросил телефон, сделайте это сами через Recovery Mode. Это удалит возможные шпионские программы, оставленные предыдущим владельцем.

Процедура первого запуска (OOBE)

При первом включении Android предложит вам подключиться к Wi-Fi и войти в Google-аккаунт. Не делайте этого.

Пропустите подключение к Wi-Fi. Настройте телефон офлайн.

Отключите все галочки: «Отправлять статистику», «Геолокация», «Поиск сетей Wi-Fi», «Персонализация рекламы».

Не вводите Google-аккаунт. Вход в Google свяжет уникальный ID устройства (Android ID) с вашей личностью. Мы будем использовать F-Droid и Aurora Store для установки приложений.

Защита экрана: Установите сложный пароль или PIN-код (минимум 6 цифр). Не используйте отпечаток пальца или FaceID — биометрию могут заставить сдать принудительно, пароль же защищен юридически (во многих юрисдикциях) и его можно «забыть».

Шифрование

Современные Android-устройства шифруются по умолчанию (FBE — File Based Encryption). Убедитесь в настройках безопасности, что шифрование включено. Это превратит ваши данные в «кашу» для любого, кто завладеет телефоном, но не знает пароля.

4. Идентификаторы сети: IMEI и MAC

Важно понимать, как сеть видит ваше устройство.

IMEI (International Mobile Equipment Identity)

Уникальный серийный номер радиомодуля. Он транслируется в эфир при подключении к сотовой вышке. Сменить IMEI программно на современных телефонах сложно и часто незаконно. Именно поэтому мы покупаем отдельный телефон: если IMEI «грязного» телефона никогда не пересекается с вашей личностью (SIM-картой на ваше имя), то сам по себе номер IMEI ничего не скажет наблюдателю.

MAC-адрес

Уникальный адрес Wi-Fi и Bluetooth модуля. В отличие от IMEI, он виден роутерам, к которым вы подключаетесь, и даже тем, которые просто находятся рядом (в режиме сканирования).

Начиная с Android 10, функция рандомизации MAC-адреса включена по умолчанию. Это означает, что для каждой новой Wi-Fi сети телефон генерирует случайный адрес.

Проверьте это:

Настройки -> О телефоне -> Статус.

Или в настройках разработчика (мы включим их позже).

5. Подготовка к установке ПО

Теперь у вас есть «чистое» устройство, не связанное с вашим паспортом и банковской картой. Оно не подключено к Google. В следующем уроке мы разберем, как правильно настроить сетевой экран (NetGuard), установить безопасный магазин приложений F-Droid и начать работу с терминалом Termux.

Помните: безопасность — это компромисс между удобством и защитой. Мы только что пожертвовали удобством (покупка за наличные, отказ от Google-синхронизации) ради фундамента вашей цифровой свободы.

Скрытые сети: настройка Tor, I2P и использование комбайна InviZible Pro

В предыдущем уроке мы подготовили «чистое» устройство: выбрали правильный смартфон, отказались от сервисов Google и научились безопасно приобретать SIM-карты (или обходиться без них). Теперь у нас есть надежный фундамент. Однако, как только вы подключитесь к интернету, ваш провайдер (ISP) или оператор сотовой связи мгновенно увидит, к каким ресурсам вы обращаетесь. Более того, сайты, которые вы посещаете, будут видеть ваш реальный IP-адрес.

В этой статье мы построим непробиваемую стену между вашим устройством и внешним миром, используя технологии скрытых сетей. Мы не будем ограничиваться простым VPN, который требует доверия к владельцу сервера. Мы настроим децентрализованную анонимность с помощью мощного инструмента — InviZible Pro.

1. Теория скрытых сетей: Tor и I2P

Прежде чем нажимать кнопки, необходимо понять, как работают инструменты, которые будут защищать вашу свободу.

Tor (The Onion Router)

Tor — это система, позволяющая устанавливать анонимное сетевое соединение, защищенное от прослушивания. Технология основана на «луковой маршрутизации».

!Визуализация прохождения трафика через три узла сети Tor с поэтапной расшифровкой.

Как это работает: Ваш трафик заворачивается в три слоя шифрования и проходит через три случайных узла (ноды) по всему миру:

Входной узел (Guard Node): Знает ваш реальный IP-адрес, но не знает, куда вы идете и что передаете (данные зашифрованы).

Средний узел (Middle Node): Знает только, от кого пришли данные и кому их передать дальше. Не знает ни вас, ни конечный сайт.

Выходной узел (Exit Node): Снимает последний слой шифрования и отправляет запрос на целевой сайт. Он видит данные (если не используется HTTPS), но не знает, кто их отправил.

Вероятность компрометации цепочки (де-анонимизации) можно оценить упрощенной формулой, если предположить, что злоумышленник контролирует часть сети.

Где — вероятность того, что злоумышленник контролирует и входной, и выходной узлы в вашей цепочке (что необходимо для корреляции трафика по времени), — количество вредоносных узлов под контролем атакующего, а — общее количество узлов в сети. Эта формула показывает, почему важно, чтобы сеть была большой и децентрализованной.

Для чего использовать Tor: * Скрытие IP-адреса при посещении обычных сайтов (Clearnet). * Доступ к заблокированным ресурсам. * Доступ к .onion сайтам (Darknet).

I2P (Invisible Internet Project)

Если Tor — это труба для выхода в обычный интернет, то I2P — это замкнутая экосистема, «интернет внутри интернета». I2P использует «чесночную маршрутизацию» (Garlic Routing).

Отличия от Tor: * Одноранговость: В I2P нет выделенных серверов, каждый участник сети является маршрутизатором для других. * Разделение туннелей: Входящий и исходящий трафик идут по разным туннелям, что усложняет анализ таймингов. * Скрытые сервисы: I2P оптимизирован для скрытых сайтов (eepsites, домен .i2p), которые физически невозможно найти по IP.

Для чего использовать I2P: * Анонимное общение (мессенджеры, почта). * Файлообмен (торренты внутри сети). * Хостинг собственных скрытых ресурсов.

2. InviZible Pro: Комбайн анонимности

На Android можно установить отдельные приложения: Orbot для Tor и I2P Android для I2P. Но это неудобно, вызывает конфликты и требует сложной настройки. Лучшее решение на сегодняшний день — InviZible Pro.

Это приложение объединяет в себе три модуля:

Tor — для анонимного серфинга.

I2P — для доступа к скрытым сетям.

DNSCrypt — для шифрования DNS-запросов и защиты от подмены и слежки провайдером.

Установка

Никогда не скачивайте подобные приложения из Google Play (там часто выкладывают урезанные или фейковые версии). Мы будем использовать F-Droid — каталог свободного ПО, о котором мы говорили в прошлом уроке.

Откройте F-Droid.

Найдите InviZible Pro (или добавьте репозиторий разработчика, если его нет в основном списке, ссылка доступна на официальном сайте InviZible).

Установите приложение.

Базовая настройка и запуск

При первом запуске InviZible Pro проведет вас через мастер настройки.

Режим работы: Root vs VPN Root-режим: Если вы прошили телефон (например, LineageOS + Magisk), InviZible может использовать iptables для прозрачного перенаправления всего* трафика. Это самый надежный метод, исключающий утечки. * VPN-режим: Если Root-прав нет, InviZible создает локальный VPN-интерфейс. Весь трафик телефона заворачивается в этот локальный VPN, где приложение распределяет его между Tor, I2P и DNSCrypt. Для большинства пользователей этот режим достаточен и безопасен.

Запуск модулей: На главном экране вы увидите три переключателя. Для максимальной защиты рекомендуется включить все три: * DNSCrypt: Обязательно. Иначе провайдер увидит, к каким доменам вы обращаетесь, даже если сам трафик зашифрован. * Tor: Основной канал для интернета. * I2P: Если планируете посещать ресурсы .i2p.

3. Обход цензуры: Мосты (Bridges)

В странах с жесткой интернет-цензурой (Россия, Китай, Иран) прямое подключение к сети Tor часто заблокировано. Провайдеры используют DPI (Deep Packet Inspection), чтобы распознать протокол Tor и разорвать соединение.

Для обхода блокировок используются мосты (Bridges) — секретные входные узлы, адреса которых не публикуются в открытых списках.

Настройка мостов в InviZible Pro:

Откройте меню (три полоски) -> Настройки Tor.

Найдите раздел Мосты.

Включите опцию «Использовать мосты».

Выберите тип моста. На сегодняшний день самым эффективным является протокол obfs4.

> Если встроенные мосты не работают, их можно получить вручную через Telegram-бота @GetBridgesBot или на сайте Tor Project, а затем вставить строку конфигурации в InviZible (пункт «Пользовательские мосты»).

4. DNSCrypt: Защита от «прослушки» имен

Даже если вы используете Tor, ваш телефон должен сначала узнать IP-адрес сайта google.com. Этот процесс называется DNS-резолвинг. Обычно этим занимается сервер вашего провайдера.

Угроза: DNS-запросы обычно не шифруются. Провайдер видит: «Ага, пользователь запрашивает IP для pornhub.com или torproject.org».

Решение: DNSCrypt шифрует эти запросы и отправляет их на независимые серверы, минуя провайдера. В InviZible Pro этот модуль работает автоматически. В настройках DNSCrypt выберите серверы, которые не ведут логи (no logs), например, от Quad9 или AdGuard DNS (если нужна блокировка рекламы).

5. Изоляция приложений и исключения

Не весь трафик стоит пускать через Tor. Например, банковские приложения могут заблокировать ваш счет, увидев вход с IP-адреса другой страны. Также через Tor невозможно играть в онлайн-игры из-за высокой задержки (пинга).

В InviZible Pro есть функция «Исключить приложения»:

Перейдите в настройки брандмауэра (или VPN).

Выберите приложения, которые должны работать напрямую (мимо Tor).

Будьте осторожны: трафик этих приложений не будет анонимным.

6. Tor Browser vs InviZible Pro

Частый вопрос: «Зачем мне InviZible, если есть Tor Browser?»

Это разные инструменты для разных задач:

InviZible Pro: Это системный инструмент. Он анонимизирует все* приложения на телефоне (Telegram, Signal, браузеры, системные обновления). * Tor Browser: Это специализированный браузер. Он идеально настроен для защиты от «отпечатков браузера» (fingerprinting). Он не защищает другие приложения.

Идеальная связка: Запустите InviZible Pro для защиты всей системы. Для веб-серфинга используйте Mull Browser (из F-Droid) или Tor Browser, настроенный на работу через системный прокси.

Заключение

Теперь ваш смартфон — это крепость. Весь исходящий трафик шифруется, DNS-запросы скрыты, а попытки провайдера заблокировать доступ обходятся через мосты. Вы находитесь в сети, но физически ваше местоположение определить невозможно.

В следующем уроке мы поднимемся на уровень выше и разберем прикладное ПО: безопасные мессенджеры, правильную настройку браузеров и работу с файлами в защищенной среде.

Чистая среда: магазин F-Droid и поиск безопасных альтернатив популярным приложениям

В предыдущих модулях мы проделали огромную работу: выбрали безопасное устройство, изолировали его от сотовых вышек и настроили маршрутизацию трафика через скрытые сети Tor и I2P. Но вся эта защита может рухнуть в одно мгновение из-за одной простой ошибки — установки вредоносного программного обеспечения.

Под «вредоносным» в контексте анонимности мы понимаем не только классические вирусы, но и вполне легальные приложения: социальные сети, сервисы Google, популярные клавиатуры и фонарики. Все они нашпигованы трекерами, которые собирают метаданные и отправляют их на сервера рекламных корпораций.

В этой статье мы научимся жить без Google Play, использовать магазин свободного ПО F-Droid и заменим шпионящие приложения на их безопасные аналоги.

1. Проблема Google Play и проприетарного ПО

Google Play — это не просто магазин, это система надзора. Чтобы скачать приложение, вы должны идентифицировать себя (войти в аккаунт), а само приложение часто требует сервисы Google Play Services для работы. Это создает уникальный цифровой отпечаток, связывающий все ваши действия с вашей личностью.

Кроме того, большинство приложений в Google Play являются проприетарными (закрытыми). Никто, кроме разработчика, не знает, что на самом деле делает код внутри программы.

!Визуализация различия между открытым исходным кодом (прозрачность и доверие) и проприетарным ПО (черный ящик с возможными закладками).

Что такое FOSS?

Мы будем использовать исключительно FOSS (Free and Open Source Software) — свободное программное обеспечение с открытым исходным кодом. Его главные преимущества:

* Аудируемость: Код открыт, и сообщество может проверить его на наличие закладок и шпионов. * Отсутствие трекеров: Разработчики FOSS обычно энтузиасты, которые не зарабатывают на продаже ваших данных. * Бесплатность: Как правило, такие приложения бесплатны и не содержат рекламы.

2. F-Droid: Крепость свободного ПО

F-Droid — это альтернативный каталог приложений для Android, содержащий только свободное ПО. Это наш основной источник программ.

Установка и настройка

Поскольку мы не используем браузер Chrome и Google Play, скачивать F-Droid нужно с официального сайта через браузер, который вы установили ранее (или передать APK-файл с компьютера через USB).

Зайдите на f-droid.org.

Скачайте APK-файл и установите его.

При первом запуске F-Droid обновит репозитории (списки приложений).

Альтернативные клиенты F-Droid

Официальный клиент F-Droid надежен, но визуально устарел и иногда работает медленно. Существуют более современные клиенты, которые используют те же репозитории F-Droid:

* Droid-ify: Современный интерфейс в стиле Material Design, высокая скорость работы. * Neo Store: Мощный клиент с расширенной информацией об установленных пакетах и трекерах.

Рекомендую начать с Droid-ify для удобства.

3. Aurora Store: Мост в мир Google без Google

Иногда нам жизненно необходимы приложения, которых нет в F-Droid (например, банковский клиент или специфический мессенджер для работы). Как скачать их из Google Play, не имея Google-аккаунта на телефоне?

Для этого существует Aurora Store (доступен в F-Droid).

Это неофициальный клиент Google Play, который позволяет: * Скачивать приложения анонимно (используя общие аккаунты Aurora). * Подменять информацию об устройстве (можно притвориться, что у вас Samsung S24, чтобы скачать несовместимое приложение). * Видеть количество трекеров в приложении до его установки.

> Важно: Никогда не входите в свой личный Google-аккаунт через Aurora Store. Google активно банит аккаунты за использование сторонних клиентов. Используйте только режим «Анонимный вход».

4. Великая миграция: Замена привычных приложений

Теперь самое главное. Мы должны удалить (или отключить) стандартные приложения и установить безопасные аналоги. Ниже приведена таблица замен.

| Категория | Опасное приложение (Google/Proprietary) | Безопасная альтернатива (F-Droid) | Преимущества альтернативы | | :--- | :--- | :--- | :--- | | Браузер | Google Chrome | Mull или Fennec | Вырезана телеметрия, усилена защита от отпечатков, поддержка uBlock Origin. | | Клавиатура | GBoard, SwiftKey | OpenBoard или FlorisBoard | Не отправляет нажатия клавиш в облако, не обучается на ваших паролях. | | YouTube | YouTube App | NewPipe или LibreTube | Просмотр без рекламы, фоновое воспроизведение, скачивание видео, нет слежки Google. | | Карты | Google Maps | Organic Maps или OsmAnd~ | Работают офлайн, используют OpenStreetMap, не сохраняют историю перемещений. | | 2FA (OTP) | Google Authenticator | Aegis Authenticator | Шифрование базы кодов, возможность бэкапа, открытый код. | | Заметки | Google Keep | Joplin или Logseq | Шифрование заметок, синхронизация через свои сервера или папку (Syncthing). | | PDF | Adobe Reader | MJ PDF | Легковесный, быстрый, без рекламы и аналитики. |

Особое внимание: Клавиатура

Клавиатура — это приложение, которое знает о вас больше, чем кто-либо. Она видит ваши пароли, личные переписки, поисковые запросы. Использование проприетарной клавиатуры (GBoard) с доступом в интернет — это огромная дыра в безопасности.

Действие: Установите OpenBoard или Heliboard. Зайдите в настройки Android -> Приложения -> OpenBoard -> Мобильные данные и Wi-Fi -> Запретить доступ в интернет. Клавиатуре не нужен интернет, чтобы печатать текст.

5. Анализ приложений на трекеры

Прежде чем установить какое-либо приложение из Aurora Store (то есть проприетарное), вы обязаны проверить его «чистоту».

Для этого используйте сервис Exodus Privacy.

В Aurora Store перед скачиванием пролистайте вниз до раздела «Трекеры».

Или установите приложение ClassyShark3xodus из F-Droid. Оно сканирует уже установленные на телефоне программы и показывает, какие библиотеки слежки в них вшиты (Facebook Analytics, Google Firebase, Crashlytics и т.д.).

Если приложение содержит критические трекеры, ищите альтернативу или изолируйте его (об изоляции мы поговорим в уроке про Shelter).

6. Синхронизация без облака

Отказ от Google означает потерю Google Drive. Как перекидывать файлы между компьютером и телефоном без проводов и сторонних облаков?

Решение: Syncthing.

Это программа для P2P-синхронизации. Ваши данные передаются напрямую между вашими устройствами, зашифрованные сквозным шифрованием (End-to-End). Никаких промежуточных серверов, где ваши фото могут быть просканированы нейросетями.

Заключение

Теперь ваш смартфон наполнен программным обеспечением, которое работает на вас, а не на рекламные корпорации. Вы используете открытый код, скачиваете приложения анонимно и контролируете каждый байт информации.

В следующем уроке мы разберем продвинутую технику изоляции: как запускать «грязные» приложения (если без них совсем нельзя обойтись) в отдельном профиле с помощью Shelter, чтобы они не видели ваши основные данные.

Полный контроль: фильтрация трафика через NetGuard и изоляция рабочих пространств в Shelter

Мы продолжаем наш курс «Полное руководство по мобильной анонимности и безопасности на Android». В предыдущих модулях мы научились выбирать безопасное «железо», настроили скрытые сети (Tor, I2P) через InviZible Pro и заменили проприетарные приложения на свободные аналоги из F-Droid.

Однако, даже в мире Open Source и «чистых» устройств остается проблема доверия. Некоторые приложения, даже самые безобидные на вид (например, калькулятор или клавиатура), могут пытаться выйти в интернет. А иногда нам приходится устанавливать проприетарное ПО (например, WhatsApp или банковский клиент), потому что этого требует работа или жизненные обстоятельства.

Как заставить «грязные» приложения работать по нашим правилам? Как запретить фонарику отправлять статистику в Китай, а WhatsApp — читать ваши личные фотографии? Ответ кроется в двух мощных инструментах: NetGuard и Shelter.

1. NetGuard: Ваш персональный таможенник

Android по умолчанию дает приложениям слишком много свободы. Если вы дали приложению разрешение «Доступ в Интернет», оно может отправлять данные куда угодно и когда угодно. NetGuard — это фаервол (межсетевой экран), который возвращает контроль в ваши руки.

Принцип работы

Для работы классических фаерволов на Linux (ядре Android) обычно требуются Root-права (права суперпользователя) для управления таблицами iptables. Но NetGuard использует гениальный обходной путь: он создает на устройстве локальный VPN-туннель.

Весь трафик приложений направляется в этот локальный VPN. NetGuard, выступая в роли «пробки» на этом туннеле, решает: пропустить пакет данных в реальную сеть или отбросить его. Это позволяет фильтровать трафик на любом устройстве без взлома прошивки.

!Схема работы NetGuard через локальный VPN-интерфейс, фильтрующий исходящий трафик приложений.

Установка и базовая настройка

Скачивать NetGuard нужно строго из F-Droid. Версия в Google Play урезана (из-за правил Google там запрещена блокировка рекламы и некоторые функции фильтрации).

Установите NetGuard из F-Droid.

Запустите и активируйте переключатель в левом верхнем углу.

Система запросит разрешение на создание VPN-подключения. Соглашайтесь.

Стратегия «Белого списка» (Whitelist)

Большинство пользователей совершают ошибку, пытаясь блокировать плохие приложения. Профессионалы блокируют всё, а затем разрешают только необходимое.

В логике безопасности это описывается через теорию множеств. Пусть — множество всех приложений, а — множество разрешенного трафика.

Стратегия «Черного списка» (Blacklist):

Где — это все приложения, кроме заблокированных. Это опасно, так как новое установленное приложение автоматически получит доступ, пока вы его не заблокируете.

Стратегия «Белого списка» (Whitelist), которую мы будем использовать:

Где состоит только из явно разрешенных приложений. Все остальное запрещено по умолчанию.

Настройка «Белого списка» в NetGuard:

Зайдите в Настройки -> Параметры по умолчанию.

Включите галочки «Блокировать Wi-Fi» и «Блокировать мобильные данные».

Теперь интернет на телефоне полностью отключен для всех приложений.

Вернитесь на главный экран и вручную снимите галочки (разрешите доступ) только для тех приложений, которым интернет действительно нужен (браузер, мессенджер, F-Droid).

Теперь ваша клавиатура, галерея, заметки и PDF-ридер физически не смогут отправить ваши данные, даже если очень захотят.

> Важное примечание о конфликтах: Android позволяет иметь только одно активное VPN-соединение. Если вы используете InviZible Pro в режиме VPN (для Tor), вы не сможете одновременно запустить NetGuard. Вам придется выбирать: либо анонимизация через Tor (InviZible), либо жесткая блокировка приложений (NetGuard). Если у вас есть Root-права, NetGuard можно не использовать, так как InviZible (или AFWall+) может управлять трафиком через iptables напрямую.

2. Shelter: Изоляция в песочнице

Фаервол защищает от утечек в сеть. Но что делать, если приложение шпионит внутри телефона? Например, вы обязаны установить WhatsApp для работы, но не хотите, чтобы Цукерберг знал, кто записан у вас в контактах, и видел ваши личные фото.

Здесь на помощь приходит Shelter.

Что такое рабочий профиль (Work Profile)?

Shelter — это FOSS-приложение, которое использует встроенную функцию Android под названием «Рабочий профиль». Эта функция позволяет создать на одном телефоне второе, изолированное пространство.

Представьте, что ваш телефон — это квартира. * Основной профиль — это ваша спальня и гостиная, где лежат личные вещи. * Рабочий профиль (Shelter) — это прихожая или гостевая комната.

Приложения, установленные в «гостевой комнате» (Shelter), не видят того, что происходит в «спальне» (Основной профиль). Они не имеют доступа к вашим основным контактам, файлам, SMS и истории звонков.

!Визуализация изоляции данных между основным профилем и рабочим профилем Android.

Настройка Shelter

Установите Shelter из F-Droid.

Запустите и следуйте инструкциям по созданию рабочего профиля (это может занять пару минут).

После завершения у вас появится вкладка «Рабочие» в меню приложений (или приложения будут помечены значком портфеля).

Как использовать изоляцию

Теперь, если вам нужно установить проприетарное приложение (например, Telegram из Google Play или Instagram):

Откройте Shelter.

Найдите нужное приложение (или сначала установите Aurora Store внутри Shelter).

Выберите «Клонировать в рабочий профиль» (Clone to Shelter).

Теперь у вас есть две копии приложения (или одна, если в основном профиле вы его удалили). Копия внутри Shelter живет в вакууме. У нее пустая телефонная книга и пустая галерея.

Функция «Заморозки» (Freeze)

Это «киллер-фича» Shelter. Проприетарные приложения любят работать в фоне, пожирая батарею и собирая метаданные (геолокацию, микрофон).

В Shelter вы можете создать ярлык «Заморозить» (Freeze). * Попользовались WhatsApp? * Нажали кнопку «Заморозить». * Приложение полностью выгружается из памяти и перестает существовать для системы, пока вы снова его не разморозите. Оно не может прислать уведомление, не может проснуться от триггера, не может следить.

3. Комплексная стратегия защиты (Defense in Depth)

Истинная безопасность достигается комбинацией методов. Давайте объединим знания из этого и предыдущих уроков в единую систему.

Уровни защиты данных:

Уровень изоляции (Shelter):

Все приложения с закрытым исходным кодом (Google Maps, WhatsApp, Banking apps) устанавливаются только в Shelter. Они не видят ваши личные файлы.

Уровень сети (NetGuard / InviZible):

* Приложениям, которым не нужен интернет (клавиатура, камера, оффлайн-карты), доступ в сеть блокируется полностью через NetGuard. * Приложения, которым нужен интернет, но важна анонимность (браузер, новости), пускаются через Tor (InviZible Pro).

Уровень поведения:

Вы используете функцию «Freeze» для всех приложений в Shelter, когда они не нужны прямо сейчас.

Математика минимизации рисков

Риск утечки данных () можно представить как произведение вероятности доступа к данным () на вероятность сетевой передачи ().

Где: * — итоговый риск утечки. * — вероятность того, что приложение получит доступ к чувствительным данным. * — вероятность того, что приложение сможет отправить эти данные злоумышленнику.

Используя наши инструменты, мы влияем на оба множителя: * Shelter снижает практически до нуля для изолированных приложений (они просто не видят данные). * NetGuard снижает до нуля для оффлайн-приложений.

Если хотя бы один из множителей равен нулю, итоговый риск также становится нулевым.

Заключение

Теперь ваш смартфон — это не проходной двор, а система с четким разграничением прав доступа. Вы решаете, какое приложение имеет право жить в вашем телефоне, что оно видит и когда ему позволено выходить в сеть.

В следующем уроке мы перейдем к защите коммуникаций: настройке PGP-шифрования, использованию XMPP/Jabber с OMEMO и правильной конфигурации почтовых клиентов.

Терминал в кармане: введение в Termux и утилиты для продвинутой безопасности

В предыдущих модулях мы построили надежную крепость: выбрали безопасное устройство, настроили сетевой экран NetGuard, изолировали подозрительные приложения в Shelter и научились использовать скрытые сети через InviZible Pro. Теперь у нас есть защищенные стены. Но что делать внутри этих стен?

Графические интерфейсы (кнопки, меню, красивые иконки) удобны, но они ограничивают ваши возможности. Разработчик приложения решил за вас, какие функции вам доступны. Чтобы получить настоящий контроль над данными и процессами, нам нужно спуститься на уровень ниже — в командную строку.

В этой статье мы познакомимся с Termux — инструментом, который превращает ваш Android-смартфон в полноценный компьютер на базе Linux. Мы научимся очищать файлы от метаданных, шифровать сообщения так, что их не прочитает ни одна спецслужба, и автоматизировать рутинные задачи безопасности.

1. Что такое Termux и почему он необходим?

Android построен на ядре Linux. Однако стандартный интерфейс Android скрывает от пользователя всю мощь этой системы. Termux — это эмулятор терминала и среда Linux, которая работает прямо на вашем телефоне без необходимости получения Root-прав (хотя с Root-правами его возможности расширяются).

!Схема показывает, как Termux позволяет взаимодействовать с ядром системы в обход ограничений стандартного графического интерфейса Android.

Зачем это нужно анониму? * Независимость: Вы можете использовать утилиты, которых нет в магазинах приложений. * Прозрачность: Консольные утилиты с открытым кодом (Open Source) делают ровно то, что вы им прикажете, без скрытой телеметрии. * Мобильность: Вы можете выполнять сложные операции (например, проверку сервера на уязвимости или глубокую очистку фото) на ходу.

Правильная установка

Это критически важный момент. Никогда не устанавливайте Termux из Google Play. Версия там давно не обновляется из-за политики Google и содержит уязвимости.

Единственный верный источник — F-Droid.

Откройте приложение F-Droid (которое мы установили в 3-м уроке).

Найдите Termux.

Установите его.

Также рекомендую установить Termux:API для доступа к функциям телефона (камера, буфер обмена) из консоли.

2. Первые шаги: обновление и навигация

При первом запуске вы увидите черный экран с мигающим курсором. Не пугайтесь. Это ваш диалог с системой. Первым делом необходимо обновить репозитории (списки программ).

Введите команду и нажмите Enter:

Система спросит подтверждение (Do you want to continue? [Y/n]). Введите y и нажмите Enter.

Базовые команды выживания

Чтобы управлять файлами, вам нужно знать всего несколько команд:

* pwd (print working directory) — показывает, в какой папке вы сейчас находитесь. * ls (list) — показывает список файлов в текущей папке. * cd (change directory) — переход в другую папку. * clear — очищает экран от текста.

Чтобы Termux увидел файлы вашего телефона (фото, загрузки), нужно дать ему разрешение:

После этого в папке ~/storage появятся ссылки на вашу галерею и загрузки.

3. Математика прав доступа (chmod)

В Linux (и в Termux) безопасность строится на правах доступа к файлам. Вы часто будете встречать команду chmod (change mode). Чтобы понимать, как защитить свои скрипты или ключи шифрования, нужно понять числовую нотацию прав.

Права делятся на три типа: чтение (read), запись (write) и исполнение (execute). Каждому праву присвоено числовое значение.

Значение права доступа для конкретной группы пользователей рассчитывается по формуле:

Где: * — итоговое числовое значение прав (от 0 до 7). * — наличие права на чтение (1 — есть, 0 — нет). * — наличие права на запись (1 — есть, 0 — нет). * — наличие права на запуск файла как программы (1 — есть, 0 — нет).

Например, если мы хотим дать право только на чтение и запись (без запуска), подставим значения:

Полная команда chmod обычно использует три цифры (например, chmod 700 file), где первая цифра — права владельца, вторая — группы, третья — остальных. Команда chmod 700 означает: «Я (владелец) могу всё (), а остальные не могут ничего ()».

4. ExifTool: Зачистка цифровых следов

Каждая фотография, которую вы делаете на камеру, содержит метаданные (EXIF). Это скрытая информация внутри файла: модель телефона, точное время съемки и, самое опасное, GPS-координаты.

Если вы отправите фото анонимно, но не удалите метаданные, получатель сможет узнать, где именно вы находились с точностью до метра.

Установка:

Проверка файла: Чтобы посмотреть, что файл «рассказывает» о вас:

Вы удивитесь количеству информации.

Очистка: Чтобы удалить все метаданные перед отправкой файла:

Теперь файл чист. Это надежнее, чем использовать графические приложения, которые могут пропустить некоторые теги.

5. GPG: Шифрование военного уровня

Мессенджеры (Telegram, Signal) используют шифрование, но ключи хранятся в приложении. Если кто-то получит доступ к разблокированному телефону, он прочитает переписку. Для передачи сверхсекретной информации (пароли, seed-фразы, координаты) лучше использовать PGP-шифрование вручную.

Установка:

Как это работает (Асимметричное шифрование)

Представьте, что у вас есть замок и ключ.

Вы раздаете всем открытые замки (Публичный ключ).

Любой может положить послание в коробку и защелкнуть ваш замок.

Но открыть замок можете только вы своим уникальным ключом (Приватный ключ).

Генерация ключей:

Следуйте инструкциям. Выберите тип RSA и размер ключа 4096 бит (максимальная надежность). Обязательно задайте сложный пароль для ключа.

Шифрование сообщения: Допустим, вы хотите написать сообщение для друга, чей публичный ключ вы уже импортировали.

В результате вы получите файл secret.txt.gpg. Это набор байтов, который невозможно взломать современными компьютерами без приватного ключа получателя.

6. yt-dlp: Анонимное потребление контента

Просмотр видео в YouTube или прослушивание аудио на стримингах оставляет огромный след. Алгоритмы профилируют вас. Чтобы смотреть видео анонимно, без рекламы и без регистрации, используйте yt-dlp.

Это мощная утилита для скачивания видео/аудио с тысяч сайтов.

Установка (требует python):

Использование: Если вы хотите скачать видео через Tor (используя прокси InviZible Pro), команда будет выглядеть так:

Так вы получаете файл на устройство, не заходя на сайт через браузер и не выполняя JavaScript-код трекеров.

7. Безопасное удаление файлов (shred)

Когда вы нажимаете «Удалить» в Android, файл не исчезает. Система просто помечает место на диске как «свободное». Сами данные остаются, и их можно восстановить специальными программами.

В Termux есть утилита shred (из пакета coreutils), которая перезаписывает файл случайным мусором перед удалением.

Пример:

* -u: удалить файл после перезаписи. * -z: в конце перезаписать нулями, чтобы скрыть факт стирания. * -n 3: перезаписать 3 раза разными случайными данными.

После такой процедуры восстановить файл невозможно.

Заключение

Termux — это швейцарский нож в мире мобильной безопасности. Мы рассмотрели лишь вершину айсберга. С его помощью можно поднимать скрытые веб-сервера в сети Tor, сканировать локальные сети на наличие шпионов (с помощью nmap) и писать скрипты для автоматического уничтожения данных при опасности.

Главное правило работы в терминале: понимай, что вводишь. Командная строка дает вам власть, но она не прощает ошибок. В следующем уроке мы поговорим о том, как защитить самое ценное — вашу переписку, используя продвинутые протоколы шифрования и децентрализованные мессенджеры.