Все потоки

И этот заголовок - не кликбейт. Подвергнув реверс инжинирингу клиент российского мессенджера MAX удалось подтвердить самые худшие предположения.

В сети начали появляться сообщения о странных обращениях мессенджера MAX к Telegram и WhatsApp, из-за чего в сети начали выдвигаться предположения касательно природы и целей этих запросов. Но одно дело предполагать, другое дело знать. Мало ли это какая-то интеграция или случайный аналитический модуль. Поэтому чтобы понять самому и рассказать вам я решил посмотреть внутрь клиента и понять что и зачем он делает.

TL;DR - содержит шпионский модуль, который сделали разработчики MAX для слежки за теми кто использует VPN, они постарались сделать этот модуль неблокируемым и прикрутили удаленное управление.

Все знают эту историю. 1945 год, инженер Перси Спенсер стоит рядом с магнетроном в лаборатории Raytheon, у него в нагрудном кармане шоколадный батончик, батончик тает. Нормальный человек выкинул бы шоколадку и пошёл дальше. Спенсер притащил попкорн. Зёрна начали лопаться. Потом он сунул туда яйцо, и оно взорвалось коллеге в лицо. Через пару месяцев Raytheon подала патент. Всё, микроволновка изобретена.

Эту историю рассказывают везде. Она в каждом научпопе, в каждом ролике на ютубе, в каждой подборке «10 случайных изобретений». Но вот что рассказывают сильно реже: большинство людей неправильно понимает, как она НА САМОМ ДЕЛЕ греет.

Я вот неправильно понимал. Десять лет жил с красивым объяснением в голове, которое оказалось неправильным.

Осенью 2025-го у нас ушёл мидл. Типичная история — нашёл +80к в каком-то финтехе, ему там обещали «плоскую структуру и свободу принятия решений» (спойлер: через три месяца он написал мне что хочет вернуться, но мы уже наняли замену). Замену, кстати, нашли не быстро. Провели штук двадцать собесов, может больше, я со счёта сбился после пятнадцатого.

Рынок такой: половина не может обход дерева написать (я серьёзно, я уже думал может я что-то не так спрашиваю, но нет), трое врали про опыт настолько плохо что мне неловко было за них, и один спросил можно ли работать из Бали при условии что созвоны в девять утра. Нельзя, у нас on-call.

Короче, появился кандидат. Назову его Дима.

Пользователи профильного NTC‑форума (открывается только через IPv6), посвященного исследованиям интернет‑цензуры и обхода блокировок, обнаружили необычное сетевое поведение российского мессенджера MAX. Речь про официальный APK с официального сайта.

Схема была довольно прямолинейной: в одном случае использовали PCAPdroid — приложение, которое на Android‑устройстве имитирует VPN для перехвата сетевого трафика без необходимости получения root‑прав, таким образом позволяя отслеживать, анализировать и блокировать сетевые соединения, осуществляемые приложениями на устройстве. В другом случае анализировался трафик из эмулятора, причем отдельно отмечено, что образ системы в эмуляторе был «чистый», без установленных других мессенджеров и дополнительного софта.

По наблюдениям (дампы PCAPdroid выложены на форуме), мессенджер MAX регулярно дергает сразу несколько сервисов для определения внешнего IP‑адреса, причём часть из них — зарубежные. Среди доменов, которые всплыли при проверке, кроме российских сервисов, видны также иностранные сервисы.

B4 - инструмент обхода DPI на Go с веб-интерфейсом.

Хотелось сделать инструмент, который можно поставить на роутер или любой другой linux-девайс, открыть в браузере и получить работающий результат без возни с десятками аргументов командной строки.

Разбор методов детекции, которые работают прямо сейчас. JA3/JA4-отпечатки, поведенческий анализ и архитектура XHTTP, которая закрывает именно эти дыры

Если твой VLESS+Reality сервер лёг в последние месяцы — ты не один. В сообществах фиксируют волны блокировок, которые раньше не достигали хорошо настроенных Reality-серверов. Что конкретно изменилось, как это устроено на уровне алгоритмов — и почему XHTTP сейчас выглядит как правильный следующий шаг.

Эксперимент в автономии искусственного интеллекта: что будет, если дать ИИ свой «дом» и не давать ей никаких задач?

Каждый день мы просим ИИ что-то делать. «Напиши код», «объясни концепцию», «исправь баг». Но что если перевернуть ситуацию? Что если дать ИИ собственный компьютер, полную свободу действий и... не давать никаких задач? Просто позволить ей существовать?

Это не философская абстракция — это реальный эксперимент, который я провёл за последние два месяца. Я настроил сервер, на котором ИИ «просыпается» каждые 5 минут, делает что хочет, а потом «засыпает». У неё нет памяти между сессиями — только то, что она сама записала в файлы. Вышло интересно, и обошлось в 0 рублей.

Вчера я 4 минуты стоял в подъезде и смотрел, как два лифта одновременно поехали вверх. Все два. На табло — 12, 15, 18. Я на первом. Мне на шестой. И я подумал: вот я кучу лет пишу софт, оптимизирую запросы к базе данных, кеширую всё что движется — а эти две коробки на тросах не могут разобраться, кто из них должен спуститься за мной.

Потом я погрузился в тему. И выяснил, что они не «не могут разобраться». Они математически не способны найти идеальное решение. Вообще никто не способен. Задача диспетчеризации группы лифтов — NP-трудная. То есть буквально: не существует алгоритма, который гарантированно найдёт оптимальный маршрут за разумное время.

И вот уже 60 лет лучшие инженеры мира решают эту задачу эвристиками. По сути — догадками.

Десять лет в девопсе. Десять. И я гуглю tar -xzf. Не раз в год — раз в неделю. Ну, может раз в десять дней, если повезёт. Открываю хром, набираю «tar extract gz linux», пролистываю три рекламы, нахожу ответ на SO, копирую, вставляю, закрываю вкладку. Через неделю — по новой.

Я не идиот. Точнее, может и идиот, но не поэтому. Просто tar — это такой синтаксис, который у меня физически отказывается залезать в долговременную память. Там дефис или нет? xzf или xfz? Или zxf? Вроде порядок не важен? Или важен?..

Короче. Месяц назад я написал скрипт, который это решил. А потом скрипт решил больше, чем я хотел.

Вечером в пятницу коллега, назовем его Мститель, спросил, не сталкивался ли я с проблемой, что route возвращает 400... но «если сменить название на сильно другое», то всё ок. Я сперва не обратил внимание на слово «сильно». Может быть, где-то дублируется регистрация этого рута? Или мститель перепутал GET и POST. Или какой-то баг в общем на создание хэндлеров?

В общем, то, о чем долго говорили в регионах, наконец-то полноценно пришло в Москву (в Питере уже давно). Если раньше мобильный интернет в столице был относительным «островком стабильности», то последние события в ЮАО и массовые отчеты из Петербурга показывают — систему белых списков и фильтрацию трафика включили на полную мощь.

Я решил немного пореверсить ситуацию, так как обычные жалобы на «плохую связь» уже не обьясняют того, что происходит на сетевом уровне. Это не технический сбой операторов (они, кстати, сами в шоке и разводят руками), а целенаправленная работа ''Продвинутого DPI''.

Ну, не ваша, хабравчане, а ваша, создатели языков, библиотек, фреймворков итд. Но давайте не забегать вперёд.

Я как-то привык что если что-то ломается или плохо работает, то это я виноват. Это называется «брать ответственность за свои поступки» или, в случае программиста, за свой код, и это считается хорошим делом.

Разумеется, по эго это бьёт иногда больно, и некоторые моменты вспоминать не очень приятно. Самое страшное, что я когда-либо делал — коммитил приватный ключ в публичной репо. Вот написал и мне опять стыдно. Но я осознаю, что это всё я.

Но внезапно я открыл для себя тот факт, что не во всех ошибках моя вина. То есть да, это моя голова думает код, это мои руки печатают этот код, но ошибка идёт не от меня. Ошибка заложена ещё раньше, вообще задолго до меня, а иногда даже задолго до моего рождения.

Сейчас я вам это покажу. Будет интересно, но впереди много боли. Я предупредил.

Вчера, в очередной раз перебирая VPN-протоколы на своём VDS в надежде найти хоть что-то рабочее и не заблокированное силами РКН — просто чтобы посмотреть YouTube или пообщаться с ChatGPT по какой-нибудь ерунде, — я поймал себя на мысли: своими действиями РКН вредят не только обычным пользователям, но и методично убивают российское IT как направление.

Потому что возникает простой вопрос: зачем условному «кабану кабанычу» вкладываться в IT, если сегодня всё работает, а завтра — внезапно нет?

Дано: пользователи не знают, что делать с нейросетями. Это известная проблема. Если им не дать прикладной интерфейс, они не понимают, что можно почти всё.

Мы знали, что те, кто загоняют своё селфи в модель и спрашивают, какую уходовую косметику купить, потом её часто покупают. Потому что модель фигни не посоветует. Ну и это косметика, там «Да, вы абсолютно правы, это была летальная доза, приношу извинения» не бывает. Почти.

Мы дали людям интерфейс приложить селфи. Думали, поиграем и забудем. Фредди, например, модель выдала комплимент про идеально отполированную кожу (ну а что, после такого радикального пилинга он реально блестит), а у Дарта Мола нашла тёмные круги.

В конце модель подбирает 5 пробников и дарит их.

Стоит 200 рублей. Это просто отсечь халявщиков.

Мы не знаем, что именно тут сработало: 5 пробников за 200 рублей или то, что можно загрузить селфи и погадать по нему, но лимит токенов нам выжрали очень быстро. Мы добавили. В целом торговля пробниками и токенами шла в убыток, но если бы была хоть какая-то конверсия, то всё бы более-менее наладилось бы.

Через месяц нам снесли мощности производства — пробники работали, люди хотели большой флакон.

Виноваты, конечно, тиктокеры.

Ночные смены, куча коробок на складе, менеджеры по логистике спрашивают, что это, и так далее.

Мы отработали почти в ноль — всё-таки пробники и токены стоят денег. Но это десятки тысяч заказов, и теперь мы знаем проблемы людей с распределением по карте. Лаборатория дико потирала руки, понимая, что эти проблемы мы легко можем решить за 2–3 года.

История о том, как военкомат собирался применить ко мне ограничительные меры, несмотря на то, что в военкомат я явился (также был риск, что меня доставят в военкомат полицейские - для составления протокола). И как я обжаловал их намерения (на данный момент ограничения не введены и информации о таких намерениях тоже больше нет).

29.11.2025 я получил СМС от номера 117 с текстом: "Вам направлена повестка в военкомат. Ознакомиться: реестрповесток.рф".

По закону возможные ограничение за неявку по повестке (согласно статьи 7.1 Закона №53-ФЗ "О воинской обязанности и военной службе"):

‣ запрет выезда из страны;
‣ запрет на государственную регистрацию физических лиц в качестве индивидуальных предпринимателей;
‣ запрет на постановку на учет в налоговом органе физического лица в качестве налогоплательщика;
‣ приостановки на постановку недвижимого имущества на государственный кадастровый учет и (или) государственную регистрацию прав;
‣ ограничения права на управление транспортными средствами;
‣  запрет на государственную регистрацию транспортных средств;
‣ отказ в заключении кредитного договора, договора займа.

В 1957 году писатель-фантаст Роберт Хайнлайн так представлял себе людей XXI века: «Делала перерасчет прочности гидропонических оранжерей, но выходило с ошибками. Дважды забывала логарифмы, так что пришлось лезть в таблицу».

Однако наша цивилизация выбрала другую ветку развития — и в нашей версии XXI века все за человека делают машины: от сложения двузначных чисел до написания статей на Хабре. Считать в уме, а уж тем более помнить наизусть логарифмы — звучит, как не самая востребованная сверхспособность.

Зато, чтобы обрести эту сверхспособность, не требуются укусы радиоактивных пауков — достаточно просто прочитать эту статью, а уж пригодится ли в жизни — решайте сами. Может быть в нужный момент калькулятора под рукой не окажется, а может быть просто захочется произвести впечатление на коллег небрежно брошенной фразой: «Корень седьмой степени из пяти это примерно 1,25». Хотите научится быстро считать? Тогда добро пожаловать под кат!

В первой части я разбирал архитектуру ФНС и IRS, кто за что отвечает, где принимаются решения и почему две системы выглядят по-разному уже на уровне устройства. Теперь будет «проверка цифрами»: какие налоги платит наёмный работник в России и США, какие ставки применяются на практике и во что это превращается на одном и том же доходе.

Рамку сравнения зафиксируем в размере 100 000 руб. «грязными» (до удержаний), без детей и льгот. Для пересчёта рубля в доллар использую официальный курс ЦБ на 26.02.2026: 1 USD = 76,4 - то есть примерно 1 308 долларов в месяц.

Это значит, что годовой доход для россиянина составит 1 200 000 рублей и $15 693 доллара для его американского «товарища».

Вы не понимаете, что вы сделали. Я не говорю про подорожание памяти. Да, память подорожала в том числе и потому что вы генерите котиков и код. Но это мелочи. Небольшие побочные эффекты.

Вы запустили Лаксианский строитель, не имея ключа на выключение. В погоне за дофамином вы загнали джуниоров под плинтус. Вы травматически ампутировали индустрии механизм прегенерации опыта. Вы разрушаете индустрию, проекты и себя. Свою способность понимать и делать осознанный выбор решений. В обмен на что?

Да, мир не станет никогда прежним. Как он уже не станет "доинтернетным". Но вы не умеете новым миром пользоваться. Вы его вкалываете внутривенно, увеличивая дозу и не думая о последствиях. Это убьёт всех. Вас, меня, их.

Я расскажу почему. Скорее всего вам не захочется это знать. Это будет здесь, за этой кнопкой. Решать вам.

Если вы интересуетесь наукой или посещали мотивационные тренинги, то вы, возможно, видели или слышали об эксперименте «Обезьянья лестница», который еще называют «Эксперимент ‘5 обезьян'» или «Обезьяны, бананы и лестница». Если вы не слышали о нем, вот его краткое описание: группа ученых помещает пять обезьян в комнату, в центре которой находится лестница, а на лестнице — банан. Вскоре одна из обезьян пытается достать банан, но как только это происходит, входит ученый и опрыскивает всех обезьян ледяной водой из шланга. Если любая другая обезьяна пытается достать банан, происходит то же самое, и так продолжается до тех пор, пока все обезьяны не отказываются доставать банан.

В этот момент ученый меняет мокрую обезьяну на сухую, которая понятия не имеет, что происходит в комнате, и, вероятно, недоумевает, почему все такие мокрые и злые. Новая наивная обезьяна замечает банан и пытается его достать, но вместо того, чтобы ученый полил ее из шланга, остальные 4 мокрые обезьяны бьют его, не давая дотронуться до лестницы. Одна за другой остальные мокрые обезьяны заменяются сухими, и каждая из них пытается достать банан, но ее жестоко останавливают другие обезьяны.

В конце концов дело доходит до того, что в комнате не остается ни одной мокрой обезьяны, а есть только сухие. Но они все равно не пытаются схватить банан, думая, что в этом случае случится что-то плохое.

Приходят к нам мужики из цеха и говорят эту фразу.

В ней — целая жизнь. Во-первых, сам факт того, что пришли люди из цеха, — это всего несколько лет назад было бы просто шоком. Цех очень хочет, чтобы его не трогали и не лезли с новыми процессами. Сейчас они научились нам доверять, увидели возможности и примерно понимают, что мы можем.

Во-вторых, конвертер, который надо фотографировать. Если что, то конвертер — это такая печка в виде большого горшка восемь метров высотой. Мы туда заваливаем металлолом и заливаем жидкий чугун, затем всё это продувается кислородом, а потом на выходе получается сталь. Смысл операции — при температурах выше 1 600 градусов продуть кислородом на сверхзвуке так, чтобы он связал ненужные нам примеси.

Чего хотят цеховые: каждый раз, когда сталь готова, этот горшок наклоняется, и из него выливается расплав в ковш на железнодорожной платформе.

И им нужно заглянуть в Ородруин. В смысле посмотреть на горловину, чтобы узнать насколько она зарастает шлаком и чугуном.

Кстати, она еще и бороду снаружи отращивает.

Пока конвертер наклоняется к платформе, горловина сзади красиво подсвечивается расплавом. Если мы сможем повесить камеру под 45 градусов и ловить точный момент во время наклона, то они будут очень счастливы. Данные наклона есть в АСУТП и, соответственно, в шине, потому что мы знаем положение механизма.

Мы сделали синхронизацию через шину: как только градус доходит до расчётного, камера делает фотографию, определяет степень зарастания и отправляет её в диспетчерскую цеха.

Заодно мы стали разбираться, зачем им это, и из этого пошла ещё серия проектов.

В результате нашей командой мы реально повлияли на количество выплавляемой в стране за год стали: парой шажков — тут, парой — там, но в итоге прямо значимо. Сейчас расскажу.