likebutter.app/i18n/ru/docusaurus-plugin-content-docs/current/security.mdx

---
description: Безопасность
sidebar_position: 7
---

# Безопасность

Это руководство было разработано для развёртывания в опасных средах, где
устройства могут быть досмотрены, конфискованы, модифицированы или
использованы не по назначению. Оно направлено на предоставление практических
рекомендаций по повышению физической и цифровой устойчивости Butter Box к
взлому.

Следование рекомендациям в этом руководстве поможет снизить риски, но не
гарантирует абсолютную безопасность. Предполагается, что Butter Box — это
развёртываемая в полевых условиях, недорогая офлайн-система, поэтому эти
рекомендации отдают приоритет реалистичным и доступным мерам защиты.

**Допущения модели угроз**

Прежде чем применять меры контроля, чётко определите контекст вашего
развёртывания. Это руководство предполагает один или несколько из следующих
рисков:

* Физический доступ неавторизованных пользователей
* Конфискация или досмотр устройства властями
* Злонамеренные действия локальных пользователей
* Манипулирование или подмена контента
* Злоупотребление сетью или выдача себя за другого
* Повторное использование учётных данных или злоупотребление конфигурацией
  по умолчанию

Помните, что меры контроля должны адаптироваться к локальному уровню риска —
чрезмерное укрепление защиты может снизить удобство использования и доверие.



### Раздел 1: Физическая устойчивость к взлому

#### Защита корпуса и оборудования

Физический доступ к Butter Box позволяет клонировать SD-карту, заменить
прошивку, внедрить вредоносное ПО и транслировать вредоносную
информацию. Печатные платы также хрупкие и должны иметь дополнительную
защиту для обеспечения их сохранности при повседневном использовании и
воздействии погодных условий.

Рекомендации:

1. Используйте герметичный или полугерметичный корпус (винты вместо защёлок)
2. Предпочтительны винты с защитой от вскрытия (Torx, защитный шестигранник)
3. Наносите индикаторные наклейки на швы корпуса и слоты SD-карт

| 1) Sealed enclosures              | 2) Screws                               |
| --------------------------------- | --------------------------------------- |
| ![](/img/docs/unknown.jpeg) | ![](</img/docs/unknown_1.jpeg>) |

#### ![](</img/docs/void-tamper-evident seal.png>)

#### Защита SD-карты и хранилища

Рекомендации:

1. Используйте высококачественные SD-карты для повышения надежности хранения
   данных
2. Шифруйте чувствительные разделы (где это возможно)
3. Держите контент и ОС раздельно (прошивка и наборы контента)
4. Избегайте названий SD-карт, компрометирующих владельца

Дополнительно (контексты повышенного риска):

1. Epoxy Resin. Electronico potting solutions ​​protect Printed Circuit
   Boards from extreme temperatures, moisture, vibration, and other
   environmental threats.
2. Физическая блокировка извлечения SD-карты



| Epoxy Resin                             | Epoxy Resin                             |
| --------------------------------------- | --------------------------------------- |
| ![](</img/docs/unknown_3.jpeg>) | ![](</img/docs/unknown_4<br/>.jpeg>) |

#### ![](</img/docs/unknown_5.jpeg>)

#### Управление питанием и портами

Рекомендации:

1. Отключите или физически заблокируйте неиспользуемые порты (USB,
   HDMI). Недорогие физические блокираторы портов могут использоваться для
   снижения риска взлома Butter Box путём предотвращения
   несанкционированного доступа к открытым интерфейсам. Эти блокираторы
   ограничивают возможность злоумышленников внедрять вредоносный код,
   подключать несанкционированные периферийные устройства или транслировать
   нежелательный контент. Порты запечатываются пластиковыми блокираторами,
   которые можно снять только с помощью специального ключа, входящего в
   комплект развёртывания.
2. Избегайте открытия Ethernet-портов, если это не требуется. Ethernet-порты
   должны оставаться отключёнными или физически заблокированными, если они
   явно не требуются для развёртывания. Когда доступ через Ethernet
   необходим, его использование должно быть чётко задокументировано и
   ограничено доверенными операторами.
3. Используйте короткие внутренние кабели для усложнения обнаружения
4. Избегайте индентифицирующих маркировок (имена, названия организаций)

| USB & HDMI                              | Ethernet Ports                          |
| --------------------------------------- | --------------------------------------- |
| ![](</img/docs/unknown_6.jpeg>) | ![](</img/docs/unknown_7.jpeg>) |

#### Эксплуатационные практики

Рекомендации:

* Храните устройства в надежном месте, когда они не используются
* Регулярно проверяйте работоспособность и обслуживайте Butter Box
* Предполагайте, что устройства могут быть скопированы или утеряны
* Treat Butter Boxes as semi-disposable infrastructure, not personal
  devices.

### Раздел 2: Цифровая устойчивость к взлому

#### Гигиена учётных данных (Критически важно)

Обязательные действия:

SSH

* По умолчанию пользователь pi имеет пароль butterbox-admin.
* Измените этот пароль, подключившись к pi через ssh и выполнив passwd.
* Если вы предпочитаете использовать SSH-ключ, обязательно отключите доступ
  по паролю после включения доступа на основе ключей.

RaspAP

* Точка доступа имеет административный интерфейс, который можно использовать
  для изменения её настроек.
* По умолчанию: пользователь: admin, пароль: secret (по иронии, это не
  секрет)
* Change this by logging in at
  [http://butterbox.lan/admin](http://butterbox.lan/admin) (or
  [http://comolamantequilla.lan/admin](http://comolamantequilla.lan/admin)
  for a Spanish language box) and using the Web UI.

Чат

* Локальный чат был создан административным пользователем
  butterbox-admin. Пароль для этого пользователя также butterbox-admin.
* Измените этот пароль, войдя в Butter Box, перейдя в публичную комнату
  чата, затем посетив свой профиль пользователя и обновив пароль. По вашему
  усмотрению вы также можете изменить имя с butterbox-admin, чтобы другие
  пользователи вас узнавали.

Лучшие практики:

* Используйте уникальные пароли для каждого развёртывания
* Храните учётные данные оффлайн в защищённом виде
* Никогда не используйте учётные данные повторно в разных регионах

#### Повышение информационной безопасности

Рекомендации:

* Отключите сервисы, которые не являются строго необходимыми:
* SSH (или ограничьте доступ по ключам)
* Bluetooth
* USB-порты

#### Целостность и подлинность контента

Рекомендации:

* Поддерживайте неизменность прошивки во время нормальной работы
* Храните резервную копию установочного образа системы
* Периодически перепрошивайте устройства при длительном развёртывании

Операционный контроль:

* Только доверенные операторы должны устанавливать или обновлять контент
* Документируйте источники обновлений и даты



### Раздел 3: Предотвращение злоупотреблений

#### Злоупотребления в локальном чате и контенте

Риски:

* Преследование или язык ненависти
* Выдача себя за другого
* Распространение дезинформации

Меры противодействия:

* Чёткие правила использования, отображаемые локально
* Роли модераторов сообщества (при необходимости)
* Возможность быстрого сброса или очистки данных чата
* Ограничение того, кто может загружать или заменять контент
* Режим только для чтения для большинства пользователей



### Раздел 4: Реагирование на инциденты и восстановление

Превентивные меры:

* Предполагайте, что некоторые устройства будут взломаны
* Поддерживайте простую процедуру очистки и перепрошивки
* Отслеживайте развёртывания

<br/>