МАКСимальная подстава
Начало здесь. Рунет содрогнулся под напором агрессивной рекламы национального мессенджера МАХ. Ну, не то, чтобы рекламы, а фактически громогласного приказа по казарме ставить всем обязательно и отчитаться в установленный срок. Предшествовало этому как бы случайное отключение возможности осуществлять голосовые вызовы через WhatsApp и Telegram. Осталось только дождаться, когда огласят перечень наказаний в отношении лиц, злостно уклоняющихся от исполнения этой священной обязанности. За этим, полагаем, дело не встанет.
Из того, что ожидает скрепышей в ближайшем будущем:
- насильственный перевод всех бюджетников и чиновников на МАХ;
- запрет (а где запрет – там и удаление) школьных или вузовских чатов на любых платформах, кроме МАХ;
- Предустановка МАХ на всех официально импортируемых андроид-устройствах (свое производство чегой-то зачахло) без возможности удаления.
Так что же это за мессенджер, и почему государство с таким маниакальным упорством старается всех загнать в число его пользователей? Какие шпионские функции в него включены и каким простым способом можно избежать заключения в цифровой концлагерь?
Давайте сразу, без всяких долгих подводок, скажем, как есть: МАХ – это вообще не про интернет, не про общение, не про безопасность (пропаганда клянется, что там не будет никакого мошенничества и спама) и не про бизнес. МАХ – это про контроль. МАХ – это ПО, превращающее смартфон в цифровой ошейник, который скрепные рабы добровольно должны на себя напялить. Это ПЕРВАЯ В МИРЕ открытая шпионская программа, которая разрабатывается именно как шпионская, без всякой маскировки и принудительно предустанавливается на все носимые электронные устройства в стране.
Возможно, продвинутые специалисты что-то глубокомысленно скажут про китайскую многофункциональную платформу WeChat, которую, дескать, пытается скопировать российская корпорация ВК, но это совершенно не так. WeChat создавался и развивался, как коммерческий продукт, и только по достижении им успеха на рынке, мессенджером заинтересовалось китайское правительство, обязавшее владельца предоставить доступ к функциям сбора данных о пользователях и их контролю со стороны спецслужб.
А вот МАХ – продукт, буквально разработанный по заказу ФСБ и заточенный только под их интересы. Никаких преимуществ пользователю этот крайне бедный по функционалу мессенджер не дает. Там нет даже возможности менять ориентацию экрана, что просто днище! Поэтому и продвигается он не рыночными, а административно-командными, сугубо принудительными методами. Попытки заблокировать WhatsApp и Telegram – самые популярные в России мессенджеры – тому наглядное подтверждение.
Давайте рассмотрим МАХ с точки зрения основных стандартов цифровой безопасности. Его ведь преподносят именно как самый безопасный способ коммуникации. Существует четыре основных критерия безопасности:
- Политика сбора личных данных и основания для их раскрытия;
КОД. Открытый код позволяет независимым экспертам оценить, насколько программное обеспечение является безопасным для пользователя. Независимый аудит позволяет убедиться, что в дистрибутиве нет шпионских закладок, все алгоритмы прозрачны, а права доступа к устройству и его функциям осуществляются именно так, как прописано в пользовательском соглашении.
У Telegram, например, исходный код клиента (пользовательской оболочки) является полностью открытым. Так что параноики, что истерят по поводу того, что Дуров, якобы, продался с потрохами ФСБ, могут легко это доказать путем детального анализа исходного кода на предмет шпионских закладок. Но почему-то они этого не делают. Или делают, но не находят в нем ни одного сомнительного байта.
Серверный код у Telegram закрыт, но это сам основатель платформы объяснил вполне убедительно: эксперт может оценить опубликованный код, но никак не способен подтвердить, что на сервере используется тот же самый код. В данном случае пользователям достаточно быть уверенными, что облачные и секретные чаты безопасны. Обеспечивается эта безопасность использованием сквозного шифрования. Поэтому, какой код использует платформа в своей серверной части, не имеет особого значения. Наоборот, раскрытие серверного кода облегчит диктаторским государствам работу по блокировке мессенджера.
В случае с WhatsApp исходный код закрыт и еще дополнительно замаскирован. Так что безопасность этого мессенджера базируется исключительно на доверии к американской корпорации МЕТА. Закрытый исходный код у другого популярного мессенджера – Viber. У Signal – открытый.
Что зашито в увесистую программную оболочку МАХ, не знает никто. Корпорация VK (филиал ФСБ) не собирается обнародовать, ни код клиента, ни серверную его часть, и при этом игнорирует вопросы специалистов. Например, совершенно непонятно, зачем мессенджеру нужен доступ к функции Блютуз, используемой для приема и передачи данных. Что, от кого и кому собирается ВК передавать через ваш Блютуз, управляя им через мессенджер, так и остается тайной. Потому считать безопасным МАХ можно ровно настолько, насколько вы доверяете товарищу майору с Лубянки.
ШИФРОВАНИЕ. В Telegram используется два типа шифрования: «клиент-сервер» для обычных облачных, в том числе групповых чатов; и «клиент-клиент» (сквозное, или оконечное шифрование, E2EE).
Только второй вид шифрования является безопасным и работает он так. У отправителя и получателя есть по паре ключей: один приватный, второй – публичный. Приватные ключи создаются и хранятся на устройствах пользователей. На сервер эти ключи НЕ ПОПАДАЮТ.
Отправитель и получатель вместе генерируют общий секретный ключ. Каждый использует свой приватный ключ и оба публичных. Общие ключи временные и перегенерируются автоматически. Шифрование и расшифровка выполняется на устройствах пользователей, а не на сервере. Доступ к исходному тексту сообщения есть только у отправителя, а после расшифровки – и у получателя. Никто больше доступа к данным не имеет.
Является ли E2EE шифрование АБСОЛЮТНО безопасным? Нет, есть хакеры-виртуозы, которые взламывали секретные чаты Telegram и даже их сервера. В итоге компания решила поставить зло на службу добру и уже более 10 лет проводит специальные конкурсы с солидным призовым фондом для хакеров по взлому протоколов безопасности Telegram. По результатам такого тестирования протоколы безопасности и шифрования усложняются и становятся все более совершенными.
Два самых продвинутых мессенджера в плане защиты конфиденциальности переписки – Telegram и Signal. Разница между ними лишь в одном: в Telegram E2EE шифрование применяется только в секретных чатах, созданных по инициативе пользователей, а в Signal сквозное шифрование носит принудительный характер для всех пользователей и всех сообщений.
Применяется ли шифрование сообщений в МАХ? Вопрос этот лишен смысла просто потому, что исходный код мессенджера закрыт. И закрыт он как раз с целью скрыть ПОЛНОЕ ОТСУТСТВИЕ ШИФРОВАНИЯ, о чем подробнее будет ниже. Впрочем, и так уже можно догадаться: если МАХ – средство, разработанное по заказу ФСБ для слежки и контроля за гражданами, то зачем товарищ майор будет сам себе создавать проблемы? Заявление разработчика о том, что для всех сообщений применяется сквозное шифрование, у специалистов вызывает лишь приступы гомерического хохота.
ПОЛИТИКА СБОРА ЛИЧНЫХ ДАННЫХ И ОСНОВАНИЯ ДЛЯ ИХ РАСКРЫТИЯ. Вам не кажется странным то, что МАХ называют НАЦИОНАЛЬНЫМ мессенджером? Для него даже приняли специальный федеральный закон №156 от 24 июня 2025 года о национальном мессенджере. Вроде как интернет – штука глобальная, границ в нем нет. Тот же китайский WeChat на самом деле ни разу не китайский, а глобальный продукт, он активно продвигается разработчиком (частная корпорация TENCENT) в разных странах, особенно активно в Индии и Индонезии. Еще никому не приходила в голову «гениальная» мысль локализовать использование мессенджера, главное предназначение которого – предоставление услуг связи людям, разделенным границами и океанами!
Но, напомним, МАХ создается с обратной целью – разорвать связь между населением России и всем остальным миром. Это со всей очевидностью следует хотя бы из того, что зарегистрировать аккаунт можно исключительно на мобильный номер сотового оператора РФ и Белоруссии. Потому в названии мессенджера и появилось странное слово «национальный».
Формально политика сбора личных данных пользователей у МАХ ничем не отличается от прочих аналогов. Везде пользователь должен верифицироваться через мобильный номер, везде должен предоставить доступ к камере, микрофону, списку контактов и т.д. Это вполне логично: ведь невозможно осуществлять голосовую связь, если доступ к микрофону заблокирован. Видеозвонки нельзя делать, если мессенджер не получил права использования видеокамеры на устройстве. Без доступа к базе контактов невозможно установить соединение с нужным вам абонентом.
Но есть один нюанс: все существующие мессенджеры получают от вас только те данные, которые вы сами им предоставляете. Хотите сообщить свое настоящее имя – сообщите. Хотите разместить на аватарке реальное фото – сделаете это. Вы можете сообщить дату своего рождения, а можете и не сообщать.
И только мессенджер МАХ (читай – ФСБ) будет знать о пользователях мессенджера абсолютно все. Просто потому, что всякий человек верифицируется по абонентскому номеру с префиксом +7, который можно приобрести только по паспорту. А у всех операторов мобильной связи еще с 2005 года установлено оборудование, обеспечивающее полный доступ ко всем базам данных операторов связи. Подчеркиваю: если в цивилизованных странах операторы связи обязаны раскрывать персональные данные клиентов по судебному ордеру, то в РФ они должны установить в своих дата-центрах оборудование, дающее чекистам прямой доступ ко всей информации о клиентах.
Так что если кто-то считает, что можно зарегистрировать аккаунт на номер бабушки, а пользоваться со своего телефона, то фокус не пройдет. К вашему активному номеру доступ у МАХ есть по умолчанию. Павел Дуров или Марк Цукеберг, даже зная, что вы пользуетесь Telegram или WhatsApp со смартфона с конкретным номером, при всем желании не смогут установить вашу личность. Тем более, вы можете анонимно воспользоваться сервисом кратковременной аренды мобильного номера и зарегистрировать аккаунт, скажем, на номер сотового оператора Гаити. Вы платите 30-50 рублей через криптокошелек, а вам приходит проверочный код, необходимый для верификации аккаунта. Во многих странах сим-карты вообще можно приобрести анонимно.
Но в России и Белоруссии это давно невозможно. Более того, даже номера, приобретенные 20 лет назад, необходимо в обязательном порядке верифицировать по действующему паспорту под угрозой отключения услуг связи. Поэтому уже сейчас личность пользователя МАХ идентифицируется с 99-процентной точностью. А когда к аккаунту будет привязан сервис Госуслуг и банковские карты, точность идентификации будет повышена до 100%.
С этой целью ФСБ пытается продавить норму о том, что МАХ должен стать единственным оператором PUSH-уведомлений. Заодно банки, платежные системы и службы доставки обязаны будут платить монополисту за эту услугу по его расценкам. А у товарища майора появится «единое окно» доступа к данным обо всех безналичных транзакциях, которые вы совершили.
Но это лишь вопрос удобства товарища майора. По факту он и сейчас имеет доступ ко всей этой информации, только вынужден собирать ее, обращаясь с запросами ко всем интересующим его банкам в отдельности. А так все банки будут обращаться ФСБ-шному агрегатору для подтверждения платежа.
Теперь давайте вспомним, о чем говорилось выше – об отсутствии шифрования пользовательского трафика. Это значит, что вся ваша переписка или пересылаемые фото не только доступны силовикам, но и автоматически идентифицируют личность как отправителя, так и получателя.
И не стоит думать, что ваши ню-фото или высказывания по поводу текущей политической ситуации будут обрабатываться вручную специально обученными людьми в погонах. Нет, люди в погонах будут лишь настраивать алгоритмы ИИ, через который будет пропускаться весь трафик МАХ. Оперативникам останется лишь санкционировать преследование лиц, продемонстрировавших свою нелояльность правящему режиму. Нужно будет выполнить план по посадке ЛГБТ-активистов – воспользуются списком лиц, активно делящихся гей-порно. Нужно будет посадить эко-активистов или противников войны – обратятся к соответствующему хранилищу данных, где алгоритмы слежки уже выстроят иерархию по тяжести совершенных мыслепреступлений и территориальной подследственности. (Продолжение следует)