---
title: "Безопасность"
nav_order: 7
---

# Безопасность

Это руководство было разработано для развёртывания в опасных средах, где устройства могут быть досмотрены, конфискованы, модифицированы или использованы не по назначению. Оно направлено на предоставление практических рекомендаций по повышению физической и цифровой устойчивости Butter Box к взлому.

Следование рекомендациям в этом руководстве поможет снизить риски, но не гарантирует абсолютную безопасность. Предполагается, что Butter Box — это развёртываемая в полевых условиях, недорогая офлайн-система, поэтому эти рекомендации отдают приоритет реалистичным и доступным мерам защиты.

**Допущения модели угроз**

Прежде чем применять меры контроля, чётко определите контекст вашего развёртывания. Это руководство предполагает один или несколько из следующих рисков:

* Физический доступ неавторизованных пользователей
* Конфискация или досмотр устройства властями
* Злонамеренные действия локальных пользователей
* Манипулирование или подмена контента
* Злоупотребление сетью или выдача себя за другого
* Повторное использование учётных данных или злоупотребление конфигурацией по умолчанию

Помните, что меры контроля должны адаптироваться к локальному уровню риска — чрезмерное укрепление защиты может снизить удобство использования и доверие.

### Раздел 1: Физическая устойчивость к взлому

#### Защита корпуса и оборудования

Физический доступ к Butter Box позволяет клонировать SD-карту, заменить прошивку, внедрить вредоносное ПО и транслировать вредоносную информацию. Печатные платы также хрупкие и должны иметь дополнительную защиту для обеспечения их сохранности при повседневном использовании и воздействии погодных условий.

Рекомендации:

1. Используйте герметичный или полугерметичный корпус (винты вместо защёлок)
2. Предпочтительны винты с защитой от вскрытия (Torx, защитный шестигранник)
3. Наносите индикаторные наклейки на швы корпуса и слоты SD-карт

| 1) Герметичные корпуса             | 2) Винты                                |
| --------------------------------- | --------------------------------------- |
| ![](assets/images/unknown.jpeg) | ![](<assets/images/unknown (1).jpeg>) |

#### ![](<assets/images/void-tamper-evident seal.png>)

#### Защита SD-карты и хранилища

Рекомендации:

1. Используйте высококачественные SD-карты для повышения надежности хранения данных
2. Шифруйте чувствительные разделы (где это возможно)
3. Держите контент и ОС раздельно (прошивка и наборы контента)
4. Избегайте названий SD-карт, компрометирующих владельца

Дополнительно (контексты повышенного риска):

1. Эпоксидная смола. Решения для заливки электроники защищают печатные платы от экстремальных температур, влажности, вибрации и других угроз.
2. Физическая блокировка извлечения SD-карты


| Эпоксидная смола                        | Эпоксидная смола                        |
| --------------------------------------- | --------------------------------------- |
| ![](<assets/images/unknown (3).jpeg>) | ![](<assets/images/unknown (4).jpeg>) |

#### ![](<assets/images/unknown (5).jpeg>)

#### Управление питанием и портами

Рекомендации:

1. Отключите или физически заблокируйте неиспользуемые порты (USB, HDMI). Недорогие физические блокираторы портов могут использоваться для снижения риска взлома Butter Box путём предотвращения несанкционированного доступа к открытым интерфейсам. Эти блокираторы ограничивают возможность злоумышленников внедрять вредоносный код, подключать несанкционированные периферийные устройства или транслировать нежелательный контент. Порты запечатываются пластиковыми блокираторами, которые можно снять только с помощью специального ключа, входящего в комплект развёртывания.
2. Избегайте открытия Ethernet-портов, если это не требуется. Ethernet-порты должны оставаться отключёнными или физически заблокированными, если они явно не требуются для развёртывания. Когда доступ через Ethernet необходим, его использование должно быть чётко задокументировано и ограничено доверенными операторами.
3. Используйте короткие внутренние кабели для усложнения обнаружения
4. Избегайте индентифицирующих маркировок (имена, названия организаций)

| USB и HDMI                              | Ethernet-порты                          |
| --------------------------------------- | --------------------------------------- |
| ![](<assets/images/unknown (6).jpeg>) | ![](<assets/images/unknown (7).jpeg>) |

#### Эксплуатационные практики

Рекомендации:

* Храните устройства в надежном месте, когда они не используются
* Регулярно проверяйте работоспособность и обслуживайте Butter Box
* Предполагайте, что устройства могут быть скопированы или утеряны
* Относитесь к Butter Box как к полуодноразовой инфраструктуре, а не как к персональным устройствам.

### Раздел 2: Цифровая устойчивость к взлому

#### Гигиена учётных данных (Критически важно)

Обязательные действия:

SSH

* По умолчанию пользователь pi имеет пароль butterbox-admin.
* Измените этот пароль, подключившись к pi через ssh и выполнив passwd.
* Если вы предпочитаете использовать SSH-ключ, обязательно отключите доступ по паролю после включения доступа на основе ключей.

RaspAP

* Точка доступа имеет административный интерфейс, который можно использовать для изменения её настроек.
* По умолчанию: пользователь: admin, пароль: secret (по иронии, это не секрет)
* Измените доступы, войдя на[ http://butterbox.lan/admin](http://butterbox.lan/admin) и используя веб-интерфейс.

Чат

* Локальный чат был создан административным пользователем butterbox-admin. Пароль для этого пользователя также butterbox-admin.
* Измените этот пароль, войдя в Butter Box, перейдя в публичную комнату чата, затем посетив свой профиль пользователя и обновив пароль. По вашему усмотрению вы также можете изменить имя с butterbox-admin, чтобы другие пользователи вас узнавали.

Лучшие практики:

* Используйте уникальные пароли для каждого развёртывания
* Храните учётные данные оффлайн в защищённом виде
* Никогда не используйте учётные данные повторно в разных регионах

#### Повышение информационной безопасности
Рекомендации:

* Отключите сервисы, которые не являются строго необходимыми:
* SSH (или ограничьте доступ по ключам)
* Bluetooth
* USB-порты

#### Целостность и подлинность контента

Рекомендации:

* Поддерживайте неизменность прошивки во время нормальной работы
* Храните резервную копию установочного образа системы
* Периодически перепрошивайте устройства при длительном развёртывании

Операционный контроль:

* Только доверенные операторы должны устанавливать или обновлять контент
* Документируйте источники обновлений и даты


### Раздел 3: Предотвращение злоупотреблений

#### Злоупотребления в локальном чате и контенте

Риски:

* Преследование или язык ненависти
* Выдача себя за другого
* Распространение дезинформации

Меры противодействия:

* Чёткие правила использования, отображаемые локально
* Роли модераторов сообщества (при необходимости)
* Возможность быстрого сброса или очистки данных чата
* Ограничение того, кто может загружать или заменять контент
* Режим только для чтения для большинства пользователей


### Раздел 4: Реагирование на инциденты и восстановление

Превентивные меры:

* Предполагайте, что некоторые устройства будут взломаны
* Поддерживайте простую процедуру очистки и перепрошивки
* Отслеживайте развёртывания