Zlecę wykonanie zaszyfrowanego komunikatora.

4

Witam,
Szukam osoby/firmy która podejmie się zlecenia napisania bezpiecznego komunikatora dostosowanego do naszych potrzeb.

Z góry nadmienię iż:
Kompletnie nie znamy się na tym, ale „mniej więcej” wiemy jakie funkcjonalności nas interesują. Ogłoszenie będzie napisane bardzo „prosto” z wtrąceniami określeń zaczerpniętych z internetu. Część funkcji będzie po angielsku, skopiowana z opisów urządzeń które są już dostępne na rynku, takie połączenie w całość wielu modułów.

Interesuje nas tylko i wyłącznie współpraca z osobami które będą później potrafić symulować część ataków na nasze urządzenia.

Pomysł wyglada następująco:

Chcemy dostosować gotowy telefon przykładowo iPhone albo google Pixel,
czy jakikolwiek inny, wyczyścić go z całego oprogramowania. Zainstalować nasz autorski program który stworzymy do obsługi naszego urządzenia, używając jakiejś podstawy: KALI Linux/SIGINTOS (albo coś innego).
Który będzie tak zoptymalizowany ze będzie podtrzymywał właściwie tylko działanie urządzenia bez zbędnych programów.

Takimi podstawowymi założeniami naszego urządzenia komunikacyjnego będzie to że, tylko tego samego typu urządzenia będą mogły się ze sobą komunikować.

Dzięki urządzeniu będzie można w pełni bezpiecznie:

  • Komunikować się tekstowo

  • Komunikować się głosowo

  • Robić zdjęcia oraz je wysyłać (w zdjęciu automatycznie powinny edytować się metadane)

  • Kalkulator

  • wysłane wiadomości powinny automatycznie kasować się w taki sposób aby nie pozostawiać za sobą absolutnie żadnych śladów.

  • Połączenia głosowe oraz tekstowe czy pliki zdjęciowe musza być w pełni zaszyfrowane,

Urządzenie powinno posiadać dodatkowe funkcje:

  • List of all cells around system in real time
  • Automatic filtering fake cells based on more that 60 criteria (podam dokładne kryteria)
  • Fully passive scanning of network environment
  • Determining the power of the selected cell
  • Modifying voice in real time
  • Invisible for interception systems
  • Ignoring steel commands
  • Serverless Infrastructure is the first commercially available solution using onion routing for mobile communication that anonymises the user’s routing, metadata, identity, location and makes storing user communication data technically impossible, for anyone. It provides an immensely resilient infrastructure against any form of attack. Bringing our communications down would in effect be bringing down the internet that was built to survive nuclear war.
  • Controlled ecosystem
  • Non-extractable keys
  • Isolated cellular modem
Modem is isolated from the device’s main computing core and has no direct memory access.
  • Controlled execution environment
Trusted boot and firmware updates and cryptographic verification of the boot image integrity.
  • Microservice architecture
Individual software components are isolated using operating system containers and are run on a “need to know basis”.
  • Passports
Multiple identities are possible on a single device being totally independent.
  • Zero inbox
We promote a zero inbox principle to be able to conveniently use the device. By default all communicated information is set to expire soon and typically there is no message archive on the device.
  • Self destruct
All critical hardware components are protected in a tamper resistant enclosure. If the integrity of the device is compromised, all encryption keys are irrecoverably erased.
  • TEMPEST resistant
Both passive and active measures are in place to ensure the blocking of electromagnetic emissions that otherwise would leak sensitive information. (Np. Folia ekranujaca wklejona w srodek)

Użycie podobnego systemu pracy jak w: https://vipline.co.uk/technical-documentation-how-it-works/
Oraz w:

https://armainstruments.com/g1-secure-communicator/

Taki trochę okrojony/zmodyfikowany TAILS/KALI/SIGINTOS na telefon z wyszczególnionymi funkcjami, Onion routing + VPN + rozwiązanie bezserwerowe oparte na blokchain, Parokrotne szyfrowanie AES256, PGP, E2P, dla pełnej funkcjonalności tylko fizyczna wymiana kluczy, brak backdoor, automatyczny „burn” urządzenia po zastosowaniu nieautoryzowanego kabla do ładowania,

Urządzenie z podstawowymi funkcjami potrzebnymi do zachowania bezpieczeństwa urządzenia mobilnego oraz komunikacji.

0

Jakieś 50-60tyś. minimum.

0

Mam taki system operacyjny na bazie Androida, ale brakuje komunikatora :)
Myślę, tak jak kolega wyżej, że 50 tys to będzie minimum

0

Budżet mamy większy, ponieważ zdajemy sobie sprawę ze trzeba infrastrukturę cała do tego zbudować.

1

Jaką trzeba mieć wiedzę żeby coś takiego wykonać jako samodzielny freelancer?

1

Myśle ze jedna osoba nie da rady sama czegoś takiego zrobić, potrzebna jest grupa ludzi która przede wszystkim zna się choć trochę na gsm, telefonach, tor, Linux, openbts, Yatebts, gnuradio, pgp, pracowała jako „cyberochroniaz”

budżet 100k € jest w pełni akceptowalny

Nie są to jakieś rozwiązania których nie da się wdrożyć, encro - działa na aquaris x2 / androidone, zrobili to się chyba nazywa „duble root” i po naciśnięciu 3 razy odpowiedniego guzika, tel się restartuje i odpala ENCRO OS z encrochat

0

Urządzenie to można dorwać z Chin, pytanie o moduły gsm,radio i kod firmware do nich.
System operacyjny i komunikator to akurat pestka przy tym

0

Większość podobnych urządzeń, zastosowało gotowe rozwiązania, google Pixel, Samsung, xiaomi, huawai.

Enigma stworzyła swoje, ARMA Instruments, xcell , również

0

Ja bym mógł się podjąć, bo doświadczenie w tworzeniu OS pod urządzenia mobilne z naciskiem na zabezpieczenie danych, ale sam tego bym nie zrobił. Musiałbym stworzyć team bo to masa roboty

0

Nie do końca klon ARMA,
Po pierwsze urządzenie będzie miało dodatkowe funkcje skanowania „jaskółek” gsm i wifi, co już samo w sobie jest niezłym wyzwaniem.

Oraz powinno mieć, funkcje interceptora,

W tamtych urządzeniach brakuje np. Funkcji automatycznego „burn/delete” jeśli nie łączy się z siecią przez dzień/dwa(w razie przejęcia/zgubienia telefonu) w zależności od konfiguracji.

Brakuje tez mechanicznego wyłączania mikrofonu, i zaślepionej kamerki przedniej, brak również funkcji edycji metadanych w pliku zdjęciowym.

Brak również autoryzacji ładowarki/kabla - gdy ktoś podłączy nieautoryzowany kabel to mu się nie uda uruchomić już nic całkowicie nigdy.
(Prosty przykład mechaniczny - kiedyś w samochodach żeby nie dało się go ukraść metoda na nowy komputer - zamieniało się w starym i we wtyczce + z -, złodziej podchodząc pod auto, wkładając swój nowy komputer miał niespodziankę)

W skrócie: jeśli jakaś funkcja jest w jednym urządzeniu /aplikacji nie ma jej w innym.
Poza tym, ARMA sama w sobie wyglada dziwnie, i trzymając takie „coś” w ręku czy przy uchu to.... dopowiedzcie sobie sami.

0

ARMA nie posiada rozmów głosowych.

0

Dzień dobry, nazywam się Emil Konnau
Przeczytałiśmy ogłoszenie i chcielibyśmy pracować dla Pana.
Łączymy nową i starą wiedzę. Stawiamy na nowoczesne rozwiązania, tworząc estetyczną a nawet piękną formę Design-u i zdrowego podejścia do oprogramowania.
Zapraszam do zapoznania się z portfolio na stronie internetowej oraz kontaktu: https://www.moonfox.pl/portfolio . Proszę napisać wiadomość na mail, żeby omówić szczegóły dotyczące tego projektu. Jeszcze na mail możemy wysłać prezentację, w której śą więcej przykładów realizowanych projektów
Jeżeli Pan będzie dzwonić lub pisać do nas bardzo proszę powiedzieć że "od Emila".
Żeby powiedzieć dokladnie ile to będzie kosztować muszę wiedzieć konkretną specyfikację projektu.

Zapraszam do kontaktu:
530 444 244
[email protected]

Pozdrawiam.

1
Emil Konnau napisał(a):

Dzień dobry, nazywam się Emil Konnau
Przeczytałiśmy ogłoszenie i chcielibyśmy pracować dla Pana.
Łączymy nową i starą wiedzę. Stawiamy na nowoczesne rozwiązania, tworząc estetyczną a nawet piękną formę Design-u i zdrowego podejścia do oprogramowania.
Zapraszam do zapoznania się z portfolio na stronie internetowej oraz kontaktu: https://www.moonfox.pl/portfolio . Proszę napisać wiadomość na mail, żeby omówić szczegóły dotyczące tego projektu. Jeszcze na mail możemy wysłać prezentację, w której śą więcej przykładów realizowanych projektów
Jeżeli Pan będzie dzwonić lub pisać do nas bardzo proszę powiedzieć że "od Emila".
Żeby powiedzieć dokladnie ile to będzie kosztować muszę wiedzieć konkretną specyfikację projektu.

Zapraszam do kontaktu:
530 444 244
[email protected]

Pozdrawiam.

Jak to jest, że ktoś pisze ze potrzebuje systemu prawie wojskowego, a gościu pisze, że przeczytał i wkleja stronkę na której jest:
screenshot-20200228211646.png

Czy to wynika z tych młodych dynamicznych zespołów?

0

Nie jestem specjalista, ale wydaje mi się, ze miedzy innymi! potrzebni nam są tzw. „Cybero-ochroniarze” „ethical hacker” i ktoś kto zna się na sieciach gsm/UMTS/3G/4G itp, - pracował w firmie która zajmuje się łącznością np budowali i obsługiwali bts, albo w uke, czy od technicznej strony u operatora telefonii.

P.S
Systemy wojskowe są skomplikowane i z reguły zainfekowane przez agentów obcych wywiadów pozostawiających backdoory

My nie możemy zbierać żadnych danych,
nie możemy dopuścić do dostępu osób nie uprawnionych,
Nie możemy zostawić żadnego backdooru,
Jeśli się da, to zastosować choćby parokrotne szyfrowanie zaszyfrowanych już plików chociażby kosztem opóźnień.
(Jeśli w ogóle to tak działa)

0
Gaspomp napisał(a):

Nie jestem specjalista, ale wydaje mi się, ze miedzy innymi! potrzebni nam są tzw. „Cybero-ochroniarze” „ethical hacker” i ktoś kto zna się na sieciach gsm/UMTS/3G/4G itp

Pingnąłem @msm @Rev i @Demonical Monk może będą zainteresowani ;)

1

Wymagania co do tego projektu gigantyczne, poziom zabezpieczeń paranoidalny. Podejrzewam że wszyscy którzy mają odpowiednie kompetencje to albo pozajmowani, nie będą mieli czasu albo odmówią współpracy z innych powodów. Skoro nie masz kompetencji i nie jesteś specjalistą to skąd wiesz, że zewnętrzny wykonawca (no spoko, grupa specjalistów) nie pozostawi właśnie jakichś backdoorów? Ponadto odbiorca zaszyfrowanej wiadomości nawet najbardziej zaufany zawsze przecież może puścić przeciek i co wtedy? Zastanawia minie też czy niektóre wymagania są w ogóle możliwe do zrealizowania jak na możliwości od strony samej elektroniki a nie tylko oprogramowania.

0

Sto procent pewności nigdy mieć nie będę, ale jak sam proces produkcyjny będzie pod jakaś tam większa kontrola niż jak kupujesz gotowe rozwiązania na które nie ma większego wpływu.

Poza tym, korzystałem w życiu z różnych rozwiązań, a jacyś tam dalsi znajomi znajomych, oddawali nawet urządzenia do badań, i każde jedno posiadało błędy, dziury albo były wskazywane miejsca przez które Ew. Właściciel/operator ma możliwość przejmowania danych.
Pomijam już system wymiany kluczy który nie odpowiada nam w żadnych z komercyjnych rozwiązań które są dostępne na rynku.

Wbrew pozorom czasami te proste rozwiązania zastosowane w odpowiedni sposób są najbezpieczniejsze.

I właśnie te elementy które będą wskazywane, przez tych którzy zajmują się forensic posiadając „swoją” ekipie będzie można łatać na bieŻąco (Boże, widzisz takie błędy i nie grzmisz)(już pomijam ze symulowane ataki trzeba przeprowadzać samemu).

Przynajmniej takie jest założenie tego projektu.
Kolejnym etapem będzie stworzenia urządzenia/systemu do szyfrowania przekazywanych dokumentów, planów, projektów technicznych, które będą „ważyły” już całkiem sporo.

Jest całkiem spora grupa firm/osób które oczekują/są gotowe zapłacić za tego typu rozwiązania, gdyż wszystkie dostępne na rynku rozwiązania(już pomijam kwestie finansowe) są nieszczelne - jeśli są dostępne to albo dla wojska i wywiadu(czyt. Nie dostępne) albo zabezpieczone są tylko przed częścią zagrożeń a jeśli są to olbrzymie korporacje to właśnie maja swoje systemy(podobno) nawet taki glencore/vitol. Nic pomiędzy nie ma. (Jedne urządzenia/systemy są zabezpieczone przed jednymi zagrożeniami inne przed innymi).

0

I grupa losowych osób za 1-2 roczne pensje programisty zrobi coś, czego nie zrobiły firmy z wielomilionowymi budżetami?

0

Na moje oko funkcjonalności w języku polskim i ze dwie, trzy w języku angielskim czyli modyfikacja głosu, brak skrzynki odbiorczej, jakieś automatyczne usuwanie czy nawet skanowanie sieci są do zrealizowania przez paru kumatych programistów Android / iOS. To w formie aplikacji na te urządzenia do komunikacji tylko przez WiFi albo przez neta z aplikacją pośredniczącą na firmowym serwerze. Cała reszta to robota dla mega korporacji a nie pozostałej grupy kumatych ludzi ze względu na możliwości techniczne i ogromną odpowiedzialność za to co robią. Kontrola tego co robią programiści mnie nie przekonuje, prędzej audyty bezpieczeństwa.

0

Witam! Jestem zainteresowana ogłoszeniem.
W pełni jesteśmy w stanie sprostać Państwu wymaganiom. Mamy duże doświadczenie, oraz jesteśmy dość elastyczni co do wszelakich poprawek i dopracowań wedle potrzeb klienta.
Kwota jaką przewiduje za wykonaną prace to ok. 60 tyś zł.
Zapraszam w razie pytań do kontaktu:
[email protected]

1

Tak, z czystej ciekawości.. Jak za 60k chcecie zrobić QoS dla połączeń voice w oparciu o onion routing? ;-)

Chyba, że brak QoS to właśnie serce rozwiązania i naturalny mechanizm szyfrowania, który dla postronnego obserwatora będzie skutkował tajemniczym "CzezZZZGgrzyytz zgrzyt. Jak mnie zgrzzzzzyyyt Zzzgzrzyyyyt?".

6

Nie wystarczy: https://signal.org/ ?

0

"budżet 100k € jest w pełni akceptowalny" - dolicz jeszcze koszty utrzymania, poprawek, pentestów itd.

2

Byłbym ostrożny z wymaganiem wszystkich tych dodatkowych funkcji. Wymieniona kwota wystarczyła by na opłacenie jednego Senior SWE z topowych firm przez jakieś 4-5 miesięcy, a nie wydaje mi się że mógłbym w takim czasie nadgryźć chociaż 1/3 z tych wymagań. A zatrudnienie specjalistów "mniejszego kalibru" do postawienia takiego systemu operacyjnego może się skończyć takimi wadami produktu, że zwykły telefon z Androidem będzie po prostu bezpieczniejszy. Z drugiej strony podniesienie budżetu nawet 10x niekoniecznie mogło by pomóc, bo przyciągnęło by firmy pracujące w stylu Comarch, a wspomniany senior SWE pewnie by się wciąż mógł nie skusić (duża kwota, ale i duże ryzyko pracy dla nieznanego polskiego przedsiębiorcy).

Z drugiej strony ograniczenie wymagań (niektóre mogą być zupełnie niekompatybilne z sugestią wykorzystania gotowego sprzętu typu Pixel) może sprawić że ten projekt będzie rzeczywiście rozsądny. Ja bym (nie podejmuje się wyzwania, tylko gdybam) wziął AOSP, okroił go z tego co niepotrzebne i użył własnego builda Signala (+ samemu postawił do niego serwery, do wszystkiego są źródła). To by miało szansę zmieścić się w budżecie i nie być radosnym projektem kogoś kto się uczy kryptografii.

Pixel 3/4 ma kilka zalet załatwiających niektóre wymagania prawie za darmo:

  • Titan M security module (tamper-resistant, non-extractable keys)
  • verified boot
  • SEPolicy (izolacja między procesami)

Odpuścił bym za to wymagania, które wyglądają na losowe frazy zaczerpnięte z internetu. Obawiam się że niektóre mogą być nawet sprzecznie. Serverless + blockchain? To pierwsze nie znaczy że nie ma serwera :). AES+PGP+E2P? "Autorskie algorytmy szyfrowania" często się kończą spektakularnymi dziurami.

1 użytkowników online, w tym zalogowanych: 0, gości: 1