- Статус
- Offline
- Регистрация
- 19 Сен 2018
- Сообщения
- 123
- Реакции
- 4
- Покупки через Гарант
- 0
- Продажи через Гарант
- 2
DivestOS: глубокий разбор
Что это и откуда
DivestOS разрабатывает один человек под ником Tad под эгидой некоммерческой организации Divested Computing Group. Основан на LineageOS но с существенными отличиями в сторону безопасности и приватности. Проект менее известен чем GrapheneOS или CalyxOS но заслуживает внимания именно потому что поддерживает устройства которые официально уже не получают обновлений от производителя.
Поддерживаемые устройства
Более 170 устройств — Pixel старых поколений, OnePlus, Samsung, Motorola, Fairphone и другие. Это главное преимущество: если нет возможности купить свежий Pixel для GrapheneOS — DivestOS даёт приличный уровень защиты на том что есть.
Важный нюанс: уровень поддержки разный для разных устройств. Есть три категории — высокая поддержка, средняя и legacy. Перед установкой смотреть конкретно своё устройство на сайте проекта — какие функции безопасности работают а какие нет из-за аппаратных ограничений.
Что добавляет поверх LineageOS
Hardened ядро — применяются патчи из linux-hardened и GrapheneOS ядра. Усиленная защита памяти, дополнительные митигации против эксплойтов.
Hardened malloc — порт графеновского аллокатора памяти. Существенно усложняет эксплуатацию уязвимостей памяти — use-after-free, heap overflow и подобные атаки.
Патчи безопасности для устройств которые производитель уже не обновляет — это ключевая ценность проекта. Старый Pixel 3 или OnePlus 6 на стоковом Android не получает патчи уже несколько лет. На DivestOS — получает.
Удалены приложения и сервисы Google полностью. Нет предустановленной телеметрии производителя.
Bromite WebView вместо стандартного — hardened версия с блокировкой рекламы и трекеров на уровне движка.
Datura Firewall — встроенный файрвол для контроля сетевого доступа приложений. Аналог network permission toggle в GrapheneOS но реализованный через VPN интерфейс.
Чего нет по сравнению с GrapheneOS
Verified Boot с кастомными ключами — на большинстве устройств кроме Pixel невозможен аппаратно. Это существенное отличие: без верифицированной загрузки атака на физический доступ потенциально эффективна.
Изоляция профилей на уровне GrapheneOS — есть стандартные профили Android но без дополнительных улучшений которые GrapheneOS добавляет.
Sandboxed Google Play — нет. Если нужны приложения из Play Store придётся использовать MicroG или обходные пути.
Аппаратная безопасность Titan M2 — только на Pixel, на других устройствах этого чипа нет физически.
Когда выбирать DivestOS
Нет возможности купить Pixel — DivestOS лучше стокового Android на любом поддерживаемом устройстве.
Есть старый Pixel — Pixel 3, 4, 4a которые GrapheneOS уже не поддерживает. DivestOS поддерживает и даёт актуальные патчи безопасности.
Нужна базовая приватность без сложной настройки — DivestOS из коробки убирает Google телеметрию и добавляет разумные настройки безопасности.
Практическая настройка после установки
Datura Firewall — заблокировать сеть всем приложениям которым она не нужна. Принцип тот же что в GrapheneOS — минимальные привилегии.
F-Droid для приложений — избегать установки из сомнительных источников.
DNS через шифрование — настроить Private DNS на резолвер который не логирует.
Регулярные обновления — DivestOS выпускает обновления регулярно, устанавливать своевременно.
Проверить статус своего устройства на divestos.org — понять какие функции безопасности активны и какие недоступны из-за аппаратных ограничений конкретной модели.
Итог
DivestOS это реалистичный выбор для людей у которых нет Pixel или которые используют устройства которые GrapheneOS не поддерживает. Не достигает уровня GrapheneOS по аппаратной безопасности — это ограничение железа, не проекта. Но существенно лучше стокового Android и активно поддерживается в отличие от большинства кастомных прошивок.
Что это и откуда
DivestOS разрабатывает один человек под ником Tad под эгидой некоммерческой организации Divested Computing Group. Основан на LineageOS но с существенными отличиями в сторону безопасности и приватности. Проект менее известен чем GrapheneOS или CalyxOS но заслуживает внимания именно потому что поддерживает устройства которые официально уже не получают обновлений от производителя.
Поддерживаемые устройства
Более 170 устройств — Pixel старых поколений, OnePlus, Samsung, Motorola, Fairphone и другие. Это главное преимущество: если нет возможности купить свежий Pixel для GrapheneOS — DivestOS даёт приличный уровень защиты на том что есть.
Важный нюанс: уровень поддержки разный для разных устройств. Есть три категории — высокая поддержка, средняя и legacy. Перед установкой смотреть конкретно своё устройство на сайте проекта — какие функции безопасности работают а какие нет из-за аппаратных ограничений.
Что добавляет поверх LineageOS
Hardened ядро — применяются патчи из linux-hardened и GrapheneOS ядра. Усиленная защита памяти, дополнительные митигации против эксплойтов.
Hardened malloc — порт графеновского аллокатора памяти. Существенно усложняет эксплуатацию уязвимостей памяти — use-after-free, heap overflow и подобные атаки.
Патчи безопасности для устройств которые производитель уже не обновляет — это ключевая ценность проекта. Старый Pixel 3 или OnePlus 6 на стоковом Android не получает патчи уже несколько лет. На DivestOS — получает.
Удалены приложения и сервисы Google полностью. Нет предустановленной телеметрии производителя.
Bromite WebView вместо стандартного — hardened версия с блокировкой рекламы и трекеров на уровне движка.
Datura Firewall — встроенный файрвол для контроля сетевого доступа приложений. Аналог network permission toggle в GrapheneOS но реализованный через VPN интерфейс.
Чего нет по сравнению с GrapheneOS
Verified Boot с кастомными ключами — на большинстве устройств кроме Pixel невозможен аппаратно. Это существенное отличие: без верифицированной загрузки атака на физический доступ потенциально эффективна.
Изоляция профилей на уровне GrapheneOS — есть стандартные профили Android но без дополнительных улучшений которые GrapheneOS добавляет.
Sandboxed Google Play — нет. Если нужны приложения из Play Store придётся использовать MicroG или обходные пути.
Аппаратная безопасность Titan M2 — только на Pixel, на других устройствах этого чипа нет физически.
Когда выбирать DivestOS
Нет возможности купить Pixel — DivestOS лучше стокового Android на любом поддерживаемом устройстве.
Есть старый Pixel — Pixel 3, 4, 4a которые GrapheneOS уже не поддерживает. DivestOS поддерживает и даёт актуальные патчи безопасности.
Нужна базовая приватность без сложной настройки — DivestOS из коробки убирает Google телеметрию и добавляет разумные настройки безопасности.
Практическая настройка после установки
Datura Firewall — заблокировать сеть всем приложениям которым она не нужна. Принцип тот же что в GrapheneOS — минимальные привилегии.
F-Droid для приложений — избегать установки из сомнительных источников.
DNS через шифрование — настроить Private DNS на резолвер который не логирует.
Регулярные обновления — DivestOS выпускает обновления регулярно, устанавливать своевременно.
Проверить статус своего устройства на divestos.org — понять какие функции безопасности активны и какие недоступны из-за аппаратных ограничений конкретной модели.
Итог
DivestOS это реалистичный выбор для людей у которых нет Pixel или которые используют устройства которые GrapheneOS не поддерживает. Не достигает уровня GrapheneOS по аппаратной безопасности — это ограничение железа, не проекта. Но существенно лучше стокового Android и активно поддерживается в отличие от большинства кастомных прошивок.
