Untitled

###### Гайд по установке анонимного доступа в Интернет через Android. ######

### Выбор и покупка устройства ###

# Зачем это нужно? #
Тем, у кого нет ведра - необходимо приобрести, т.к. Андроид - оперативная система с открытыми исходниками, будет крайне полезно. Так как такая платформа не будет сливать все наши действия дядюшке Биллу, в отличие от закрытых WM и iOS.
А также: всем у кого оно есть, крайне желательно приобрести вторую дешевую, но современную модель: так как наше ведрышко не поддерживает аппаратную виртуализацию и прочие пекашные свистоперделки, мы обойдем другим способом: будем использовать ДВА устройства для безопасного выхода в Интернет.
Принцип действия похож на принцип действия whonix: одно ведро используется в качестве основной рабочей станции, где мы работаем.
Второе ведро - мы использум в качестве "моста", выходим в интернет с него, с предварительно настроенными мостами tor и связкой tor-vpn.
Поэтому второе ведро может быть дешевым.

Необходимо усвоить, что лучше всего, по крайней мере ближайшие полгода, использовать трубу со всеми поддерживаемыми стандартами сети - все сетевые интерфейсы должны поддерживаться.
А также на базе андроид не ниже 4.4.2! Описываемые требования на текущее состояние: середина 2016-го года.

### Начальный уровень безопасности: кастомная прошивка и root-доступ. Core Utils. ###

Для наших целей будет сложно использовать оригинальную прошивку - настоятельно рекомендую использовать на базе чистого AOSP, или, на худой конец, Cyanogenmod OS, но лучше всего собрать собственную.
Можно превратить ведро в полноценную шифровальную машинку, особенно популярные образцы типа гнусмасов нексусов асусов хтц сони алкатели, etc.
Доказано.
Насчет кастомных прошивок типа Cyanogen OS и прочих сборок.
Прошивки на Cyanogen лучше всего брать на оффициальном сайте, предварительно узнав свою модель аппарата: http://download.cyanogenmod.org/
Прочие кастомы рекомендую посмотреть здесь в теме своего девайса, воспольховавшись поиском: http://4pda.ru/forum/
А вот сам гайд по сборке собственной прошивки. Инструкция универсальная, поэтому следует шевелить мозгами: http://4pda.ru/forum/index.php?showtopic=209610&st=1680#entry24253681

Нам понадобится дать нашим устройствам root-доступ.
Зачем?
Короче, root-права дают вам дополнительные привилегии по управлению вашим аппаратом.
Они понадобятся для адекватной настройки тора и удаления оффициальных зондов с нашего устройства.
Как это сделать - смотрите на http://4pda.ru/forum/ в теме вашего устройства.

Учтите: установив root, вы изменяете MD5-сумму системного раздела. А это значит, что накатывать обновления по воздуху (или FOTA) опасно.
Для того, чтобы ваш системный раздел приобрел идентичную MD5-сумму, необходимо прошиться инженерной "искаробочной" прошивкой. Но не на все устройства она есть.
Пользуйтесь поиском на http://4pda.ru/forum/

Root-доступ мы получили, что делать дальше?
Проверьте его!
Скачайте эмулятор терминала: https://jackpal.github.io/Android-Terminal-Emulator/downloads/Term.apk
Скачали? А теперь наберите в строке: su
Выкидывает уведомление? Появилась "решеточка" в следующей строке? Поздравляем, теперь у вас есть root.
Также можно проверить через любой файловый менеджер, попытаясь зайти в папку /root.
Зашли? Значит, у вас есть root.

### Установка необходимого софта. ###

# Удаление зондов от Google #
Теперь нам необходимо удалить зонды с нашего устройства и подстроить устройство под себя.
В частности, это приложения от Google, и прочие подозрительные плюшки, например стоковые плюшки нашего ведрофона.
Хотя на самом деле приложения от вашего призводителя не сильнам повредят, постарайтесь ими пользоваться как можно реже.
1 - Скачиваем это: http://jumobile.com/wp-content/uploads/2013/09/system-app-remover-2.8.1020-release-website.apk
Это - наш инструмент для удаления системных приложений. Будьте с ним предельно соторожным, можно таким образом повредить систему.
Также учтите, что это приложение глючное. И для проверки изменений лучше всего перезапустить устройство.
2 - use it wisely. Интерфейс достаточно прост: выбираем ненужные приложения и щелкаем "удалить". Удаляем, затем перезапускаем устройство.
3 - всё адекватно работает? Google не видно? Устройство не выдает ошибок? Тогда:
4 - переходим в корзину и щелкаем: "окончательно удалить". Это удалит ненужное приложение из /system/app.
5 - если же всё хреново:
6 - восстанавливаем приложение из корзины: щелкаем "восстановить".
В принципе, проблем по удалению "зондов" не должно возникнуть. Зато они могут возникнуть, если вы удалите приложения от оригинального разработчика. Это может серьезно навредить вашей системе.

# Альтернативные приложения - мир открытого ПО #
Так как мы удалили ВСЕ приложения от Google (а вы точно все удалили? проверьте!), появляется вопрос: как я буду обновлять прочие приложения и ставить новые?
Пользуемся альтернативами, а также пользуемся другими менеджерами пакетов.
Тут уж выбор ваш, но я остановился на 3х маркетах.
1. F-Droid - этот маркет напоминает систему пакетов debian. используются репозитории с приложениями, исходный код которых открыт.
В приложение можно добавлять репозитории, как в debian. Также есть интеграция с OrBot.
Скачать можно тут: https://f-droid.org/FDroid.apk
2. Blackmart - использует репозитории google play, используя липовый аккаунт. Аккаунт у вас особый: через него куплены все приложения, находящиеся в google play.
Будет полезно для тех, кто хочет скачивать бесплатно игры и обновления для своих приложений.
К сожалению, нету поддержки OrBot. Поддержка прокси еще не проверялась.
Скачать можно здесь: http://blackmart.us/blackmart_apk.apk
3. Регистрируемся на http://4pda.ru Регистрация позволит вам скачивать оттуда любой контент. В основном это приложения и прошивки.
Также советую после регистрации скачать клиент для скачивания приложений с 4PDA. Отсюда можно скачать актуальную версию: http://4pda.ru/forum/index.php?showtopic=275433
Через этот "маркет" можно прослеживать обновления ваших приложений, а также скачивать их. К сожалению, нету поддержки OrBot. Зато есть поддержка прокси.
С альтернативными приложениями ничего не буду вам советовать. Есть направление: берите приложения только с открытыми исходниками. Это можно проверить, набрав имя приложения + github
А также крайне желательны приложения, которые поддерживают интеграцию c OrBot, или имеется рабочая поддержка прокси.

Немаловажно, но все-таки это будет полезно.
Освойте командную строку. Вообще освойте ее для UNIX-подобных систем в принципе.
Для того, чтобы начать вкатываться, советую вам установить самую свежую версию BusyBox из F-Droid.
А также разрешите вашему терминалу использовать обработчик команд от BusyBox. Для этого в пути обработчика укажите: /system/xbin
Для чего это конкретно может нам понадобиться, узнаете ниже.

# Сборка android-приложения из исходников #
У вас уже стоит Linux на ПК?
Тогда этот пункт тоже может понадобиться.
Иногда бывает, что готовый пакет *.apk продается, а исходники открыты и бесплатны. Или просто приложение доступно только в виде исходного кода. Или же нам надо подредактировать бинарники под себя и пользоваться модифицированным приложением.
Что же делать? Соберем приложение из исходников!
1 - ищем исходник. Достаточно набрать имя приложения + github.
2 - нашли? Теперь скачиваем исходный код в архиве. Архив может иметь разное расширение, но в основном это *.tar.<bz/bz2/xz/gz>. Суть неважна на самом деле.
3 - распаковываем архив. Надеюсь вы знаете как это сделать в командной строке linux?
4 - распаковали? Ищем файл README м читаем его. Желательно знание английского и прямые руки. В этом файле описана инструкция по сборке. я не буду описывать основной процесс, т.к. он может быть различным. Все написано в README!
5 - собираем. Можете сходить за кофе.
6 - наконец, мы собрали. Теперь можно перенести его на наше ведро и установить.

### Средства анонимизации и их настройка ###

# TOR #
Наше всё.
Пока что малоизвестная часть.
Но и этих данных уже будет достаточно, чтобы уже чувствовать себя в безопасности, пользуясь tor как написано здесь.
Скачайте и установите OrBot: https://guardianproject.info/releases/orbot-latest.apk или воспользуйтесь поиском в F-Droid.
Установили?
Заходим в настройки нашего мобильничка.
1 - предоставляем root-права для нашего OrBot.
2 - устанавливаем его в автозагрузку, ну т.е. он будет включаться автоматически при каждом перезапуске устройства.
А теперь лезем в настройки OrBot:
3 - Options->General->Start OrBot on Boot - ставим галочку. Теперь наш OrBot будет включаться при каждом запуске устройства, если вы выполнили пункт 2.
4 - Options->General->Allow Background Starts - ставим галочку. Теперь наш OrBot будет запускаться при запуске любого приложения, требующего соединение через tor.
Остальные галочки в Options->General ставим по вкусу.
5 - Options->Transparent Proxying->Request Root Access - ставим галочку. Если вы не смогли выполнить пункт 1, то он будет включен здесь. Проверьте предыдущие пункты.
6 - Options->Transparent Proxying - ставим галочку на одноименном пункте. Торифицирует весь трафик, исходящий их приложений.
7 - дальше есть два варианта, но предпочтительнее всего первый:
	а - Options->Transparent Proxying->Tor Everything - ставим галочку. Включаем торификацию во всех приложениях.
	б - Options->Transparent Proxying->Select Apps - здесь выбираем какие приложения будут пользоваться tor.
*8 - выполняем, если хотим превратить устройство с "колпаком": Options->Transparent Proxying->Tor Tethering - ставим галочку. Непонятная экспериментальная функция.
Ее предназначение неизвестно. Известно только то, что она накрывает луковым "колпаком" ВЕСЬ трафик из приложений, которые не поддерживают интеграцию с OrBo. Я вас предупредил.
Такой функцией можно перекрыть весь непонятный и подозрительный трафик, исходящий из вашего устройства.
Запомните: никогда не используйте прокси-настройки в дефолтовых настройках устройствах - экспериментально доказано, что они перекрывают не весь трафик.
И это, используйте iptables с компа, весьма полезно.

# VPN #
Также малоизведано.
Пока только известно, что эта функция в системных настройках должна подключать вас к вашему VPN-провайдеру. И меняет она его достаточно верно, не падает.
Эту настройку можно использовать, если в блэклист сайта занесены выходные ноды tor, а необходимо войти под чужим IP.
Насчет перекрытия всего трафика через эту функцию - есть сомнения, т.к. эта настройка не требует root-прав, как например OrBot.
Для настройки VPN - соединения нам необходимо выполнить следующие действия:
1 - выбрать VPN-провайдера, поддерживающего установку его VPN-подключения на android. Лично я использую hide.me VPN
2 - зарегистрируйтесь на сайте провайдера. Выберите тип услуги и настройте так, как указано на сайте вашего VPN-провайдера.
3 - всё, теперь этим можно спокойно пользоваться.
VPN - сервисы, работающие через отдельные приложения, имеют свойство "падать" в неожиданный момент. Накрывают они уж точно не весь трафик, ибо не требуют root-прав, как OrBot.
Рекомендую их вообще не использовать.

# I2P #
Для тех, кому уж очень хочется полазить по просторам этой сети, также уже создано приложение. Ссылка с F-Droid: https://f-droid.org/repo/net.i2p.android.router_4745232.apk
Так. Скачали. Теперь его надо настроить.
Так как я не пользуюсь им так часто, мне хватает дефолтных настроек. Остальное уж сами, извините.
Но возникает еще один вопрос: какой же браузер поддерживает i2p?
Очевиднее всего, это окажется любой браузер с поддержкой ввода ручного прокси для HTTP.
Самый простой способ - скачать вот этот браузер: https://f-droid.org/repo/acr.browser.lightning_88.apk и включить поддерку уже там, покопавшись в настройках.

### Некоторые приложения, которые покажутся полезными ###

# Выбор браузера #
Так как многие браузеры не поддерживают OrBot, сделаю ревизию на существующие альтернативы.
1. Chrome и прочие хромиум-подобные браузеры не вызывают сильного доверия. И они не подключаются через OrBot к сети. Поэтому они не будут нами использоваться.
2. FireFox. Спорно. Искаробочно он не сможет работать на OrBot. Но его можно очень тонко настроить, на что я надеюсь.
Как настроить - пока что не знаю, лучше всего обратиться в подходящую тему на http://4pda.ru/forum/
3. OrFox - да-да, он самый. Копия FireFox с "искаробочной" поддержкой OrBot. Но он достаточно долго не обновлялся. Возможно, что он уязвим.
Искаробочно, в отличие от компьютерного собрата, нету noscript - расширения. Как и https everyhere. Так что будьте осторожны.
4. OrWeb - еще один браузер от GuardianProject. Работает ТОЛЬКО в связке с OrBot. И тоже глючный, а также его давно перестали обновлять.
5. Lightning - эдакое исключение. Созданный на движке Chrome 50й версии, его можно настроить достаточно тонко.
Как вы наверное догадались, там есть поддержка OrBot. А также поддержка I2P и любого другого HTTP-прокси.
Можно включить и отключить java-script, flash и изображения. Этот я пожалуй порекомендую.

# Мессенджеры #
Докатились до самого интересного. Настраиваем шифрование и выбираем мессенджеры для безопасной переписки.
Для начала, нам нужно определиться: а что нам нужно? Какое шифрование мы будем использовать? Будет ли переписка кроссплатфоменной?
1. OTR-шифрование.
OTR-шифрование, доступное из двух найденных мною мессенджеров, работающих по протоколу XMPP:
1 - ChatSecure - приложение от GuardianProject. Поддерживает OrBot и OTR-шифрование. Лёгкий, быстрый, и главное - кроссплатформенный. Не поддерживает PGP-шифрование.
2 - Conversations - платный мессенджер, но всегда можно скачать с гитхаба исходник и собрать свой: https://github.com/siacs/Conversations
Плюсы: поддержка 3х шифропротоколов: OTR, OMEMO и PGP. Из минусов - плохо интегрируется с другими платформами.
2. PGP-шифрование.
С этим делом на android хреновато будет, с самими мессенджерами.
1 - Conversations - выше упоминалось, что он способен шифровать сообщения OpenPGP-ключом. Для работы этой функции необходимо установить менеджер ключей, с того же гитхаба - приложение OpenKeyChain.
Вполне вероятно, что он не сможет работать кроссплатформенно, так что будьте осторожны.
2 - SJ IM - платный мессенджер, рассчитанный на бизнесменов, актеров, и прочих успешных людей. Можно достать на Blackmart. Его работа не проверялась, т.к. я использовал "пиратку" с Blackmart.
Ничего нельзя сказать про его надёжность, он был нестабилен на более старых версиях. Так что советую, если уж сильно хочется, приобретите его.

# Хранилища и менеджеры PGP-ключей #
На android можно хранить pgp-ключи, не роясь в папках и вспоминая, где был оставлен ключ. Также можно и расшифровывать/зашифровывать сами сообщения, или почту.
Вот сами приложения.
1. OpenKeyChain - писалось выше, что он необходим для Conversations. Он умеет:
1 - создавать ключи.
2 - импортировать/экспортировать ключи из ASCII-файлов.
3 - хранить ключи.
4 - шифровывать/расшифровывать файлы/тексты.
5 - подписывать файлы/сообщения.
6 - удалять известные ключи.
7 - искать ключи на серверах по их ID.
2. PGPTools - Дополнение к SJ IM, и оно тоже платное. Не знаю как сейчас, но в своё время был очень глючным, мог вылететь при генерации ключей.
Выполняет те же функции, что и выше, но делает это только в интеграции с SJ IM.
3. KeySync - глючный комбайн от GuardianProject. Вообще, у них проблемы с менеджерами ключей, постоянно их меняют. И они все на уровне альфа-разработки. Не советую, слишком нестабильные.

# Разрешения, и управление ими #
Что же, настроили рабочую станцию?
А теперь о некоторых приложениях.
Вы наверное не раз уже проверяли исходящий трафик и удивлялись (особенно те, кто не выполнил 8й пункт настройки TOR), насколько много приложения могут отправлять даныые в фоновом?
И вопрос еще: что это за данные?
Я решил эту проблему глобально, просто выполнив пункт 8й в настройке TOR'a.
Но есть и другой путь. Хоть я яего и не проверял, это должно сработать.
1 - устанавливаем совместимый App Ops: http://4pda.ru/forum/index.php?showtopic=520989
Это приложение управляет разрешениями наших приложений. Необходим root.
2 - даем ему root-права.
3 - и теперь внимательно читаем разрешения и думаем как они будут влиять на их работу, если их выключить.
Например, если выключить отслеживание телефонных звонков у лаунчера, то тогда вы не сможете принимать звонки, если ваш телефон будет находиться спящем режиме.
Так что думайте, что вы делаете.
Неправильно выбранные разрешения почти всегда можно исправить.
4 - наслаждаемся контролем своего устройства!

В принципе, всё. Список еще будет пополняться по мере необходимости.

### Настройка второго устройства. ###

Всё, что было описано выше, относится к тем, кто использует одно устройство.
Инструкции по настройке второго устройства идентичны настройкам первого при условии, что мы не выполняли настройку соединений первого. Такие дела.
Остается подключить на втором устройстве раздатчик вай-фая и раздать на свое устройство.

Главное - сим-карты. Желательно брать левые, которые есть возможность оформить без паспорта. И их замена. Как минимум - раз в полгода.