zharkevich.ru
Эпоха недоверия: почему я хочу переписать всё под себя

Эпоха недоверия: почему я хочу переписать всё под себя

· 32 мин чтения

У меня лежит на столе пустой SSD-диск. Я давно собираюсь поставить на него OpenBSD — операционную систему, у которой главным дизайнерским решением последние тридцать лет является безопасность. Поставить, добавить графическое окружение Xfce, перенести туда работу с текстами, программирование, лёгкую обработку картинок. Это не философский жест, а вполне практический план: машина, на которой я держу свои тексты и код, не должна за мной следить, и не должна быть проницаема для тех, кто не я.

Этот импульс — переписать всё под себя, отказаться от сервисов, контролировать собственное цифровое окружение — за последние два-три года стал у меня настолько сильным, что я понимаю: дело уже не во мне одном. Когда инженер с двадцатилетним стажем серьёзно начинает обсуждать, как поднять у себя дома почтовый сервер, поставить OpenBSD, разорвать связи со всеми облаками — это не индивидуальная паранойя. Это реакция на изменившуюся среду.

Этот пост — попытка разобраться, что именно в среде изменилось, и почему именно к 2026 году недоверие к цифровым сервисам стало не маргинальной позицией, а вполне распространённой инженерной установкой. Я разберу, что делают «бесплатные» сервисы, как устроены современные мобильные приложения, какие истории случились с «защищёнными» мессенджерами и почтой. Доберусь до уровня операционной системы. Покажу, насколько хрупкой стала цепочка поставок программного обеспечения — на примере истории xz-utils в марте 2024-го, после которой стало понятно, что чистый код вашего проекта не имеет значения, если зависимости скомпрометированы. И в финале — серьёзный разбор того, что значит возвращение контроля в реальном мире: где это реально работает, где это утопия, и почему OpenBSD для меня сегодня не философское заявление, а конкретный план.

Сразу оговорюсь: я не луддит и не апологет «отключиться от всего». Я каждый день пользуюсь интернетом, языковыми моделями и облачными сервисами. Этот пост — не декларация отказа. Я хочу поделиться изменением установки по умолчанию: с «сервис мне помогает, пока не доказано обратное» на «сервис собирает данные обо мне, пока я не убедился в обратном». Эта смена акцентов кажется небольшой, но её последствия для повседневной работы радикальные.

1. Что именно изменилось

Я не могу назвать конкретную дату, после которой моё отношение к цифровой среде стало другим. Но я могу описать переворот, который произошёл за последние десять-пятнадцать лет.

Когда-то цифровые сервисы были инструментами. Текстовый редактор, почтовый клиент, мессенджер — это были программы, которые делали для вас работу. Вы платили за них один раз, ставили на свой компьютер, и они работали. А некоторые можно было поставить бесплатно. Они никому не отчитывались, не отправляли никуда данные, не модифицировали себя без вашего ведома. Они были вашим инструментом в буквальном смысле.

Сегодня цифровой сервис — это договор с поставщиком. Не вещь, которой вы владеете, а длительные отношения, в которые вы вступаете и из которых не так просто выйти. Вы не покупаете инструмент, а создаёте аккаунт для доступа к нему. Сервис живёт на чужом сервере, и каждое ваше действие в нём логируется, профилируется, агрегируется. Сервис обновляется без вашего ведома, добавляя и убирая фичи по своему усмотрению. Сервис может в любой момент забанить ваш аккаунт, и вы потеряете данные. Сервис может в любой момент изменить условия использования, и единственное, что вы можете сделать, — нажать «принимаю». Или не нажать и отказаться от сервиса. Микроволновка — это вещь: купили, поставили на стол, дальше она ваша, продавцу до неё больше нет дела. Цифровой сервис устроен иначе: компания продолжает участвовать в каждом вашем взаимодействии с ним и накапливает у себя на серверах всё, что вы туда положили — переписку, документы, фотографии, историю поиска. И когда вы захотите уйти, всё это останется под её контролем, а не под вашим.

Изменения произошли так плавно, что многие их просто не заметили. Сначала мы радовались синхронизации между устройствами. Потом радовались, что не надо думать о бэкапах. Потом — что новые фичи появляются сами. Каждый отдельный шаг был удобным. А в сумме мы оказались в ситуации, когда наши данные нам не принадлежат. Они физически лежат на чужом сервере. Кто к ним получит доступ и на каких условиях, решает не пользователь, а компания-владелец сервера.

И это не было бы такой большой проблемой, если бы можно было сказать: «эти компании заслуживают моего доверия». В отдельных случаях — может быть, можно. Но за последние годы накопилось столько историй, что нейтральная позиция стала невозможна.

2. «Бесплатные» сервисы и экономика данных

Начнём с очевидного. В 2010 году один из ранних разработчиков MetaFilter, Эндрю Льюис, сформулировал афоризм, который потом разошёлся по всему интернету:

Если вы не платите за продукт — продукт это вы.

Эта формулировка слегка упрощённая (бывают исключения вроде Wikipedia или некоторых open-source проектов), но она схватывает главное: большинство «бесплатных» цифровых сервисов содержат себя за счёт того, что собирают данные о пользователях и монетизируют их, обычно через таргетированную рекламу.

Gmail — это рекламная компания, которая даёт людям почту. Её материнская компания Alphabet в 2024 году получила более 80% выручки от рекламы. Когда вы пишете в Gmail письмо, оно сканируется (да, не «читается человеком», но машинная обработка идёт), индексируется, используется для построения вашего профиля интересов. Когда вы открываете Google Maps и ищете кафе, это становится сигналом «пользователь интересуется ресторанами в этом районе». Когда вы смотрите YouTube, это сигналы о ваших вкусах, политических взглядах, эмоциональном состоянии в данный момент.

Каждый отдельный сигнал ничего не значит. Но в сумме они дают очень точный портрет конкретного человека. И этот портрет — товар, который Google продаёт рекламодателям. Это легально, это описано в условиях использования, которые вы приняли при создании аккаунта. Просто условия эти никто никогда не читает.

Похожая логика у Facebook, Instagram (принадлежат компании Meta, признанной в РФ экстремистской организацией; её деятельность запрещена), TikTok, LinkedIn. У Twitter/X, Discord, Reddit. У всех «бесплатных» сервисов социального плана, и у большинства коммерческих сервисов с бесплатным тарифом.

И вот здесь возникает первый слив доверия. Раньше я думал: «ну да, они показывают мне рекламу, неприятно, но не критично». Сейчас я думаю: «моя цифровая жизнь — это сырьё в чужой производственной цепочке». И это совсем другая моральная установка, даже если экономически ничего не изменилось.

3. Мобильные приложения: гонка следящих модулей

Мобильные приложения собирают данные глубже, чем сайты — там, где у браузера хотя бы есть встроенные ограничения (песочница вкладки, блокировщики, политика cookies), у нативного приложения их почти нет. Современное приложение для смартфона практически всегда содержит несколько встроенных пакетов аналитики, которые называются красивыми именами вроде Facebook SDK, AppsFlyer, Adjust, Mixpanel, Amplitude, Sentry, Firebase Analytics, Branch. Каждый из этих пакетов собирает свой набор данных и отправляет их на серверы своей компании.

Что они собирают? В типичном случае:

  • идентификатор устройства (рекламный ID, который должен быть «анонимным», но прекрасно сопоставляется с конкретным человеком);
  • модель устройства, версия операционной системы, языковые настройки;
  • адрес IP и приблизительная геолокация;
  • какие экраны вы открывали в приложении, в каком порядке, как долго на каждом задерживались;
  • какие кнопки нажимали;
  • сколько секунд провели в приложении, в какое время суток, как часто запускаете;
  • иногда — что вы вводили в текстовых полях (не пароли, как правило, но другой текст);
  • иногда — список других установленных приложений на вашем устройстве.

Эти данные сводятся в один профиль, общий для разных приложений. Если вы открыли утром приложение банка, потом приложение службы доставки, потом мессенджер, все три, скорее всего, отправили свои наблюдения за вашим поведением на одни и те же серверы, потому что у всех трёх стоит, например, Facebook SDK или Google Analytics. На стороне этих серверов данные от разных приложений склеиваются по общему идентификатору устройства и получается единая картина того, чем вы занимались утром, где находились и какие интересы у вас за день проявились. Через несколько дней такой работы ваш профиль становится очень точным.

Побочный эффект — мобильные приложения раздулись до сотен мегабайт. Простой мессенджер сегодня может занимать 250–400 мегабайт, потому что в нём, кроме собственно мессенджера, лежат библиотеки аналитики от пяти-семи разных компаний, библиотеки A/B-тестирования, библиотеки таргетинга рекламы, распознавания шрифтов, графики, изображений. Когда пользователи жалуются, что современные приложения тормозят даже на новых телефонах, основная причина именно здесь: процессор и память расходуются не на ваши задачи, а на работу всех этих паразитных модулей в фоне. Полезный код тонет в следящей инфраструктуре.

В Apple с 2021 года введена политика App Tracking Transparency, которая требует у пользователя явного разрешения на сбор межприложенческих данных. Это сильно ударило по Facebook (в 2022 году Meta объявила, что эта политика стоила им 10 миллиардов долларов США годовой выручки). Но это не остановило сбор данных внутри приложения, между приложениями одной компании, и для серверной аналитики, всего лишь немного его ограничило.

На Android ситуация хуже: у Google есть свой аналог App Tracking Transparency — Privacy Sandbox для Android, — но он слабее по требованиям к разработчикам, и общая культура сбора данных в экосистеме гораздо более вольная.

4. Мессенджеры

Мессенджер — это особое место. В нём лежит ваша личная переписка, иногда самая интимная информация о вас и вашем окружении. И именно к мессенджерам у меня сегодня самое большое недоверие.

Signal — почти единственный в массовом сегменте, к которому я отношусь с реальным уважением. Шифрование сквозное и прозрачное (Signal Protocol — открытый стандарт, который скопировали WhatsApp и Facebook Messenger). Серверы держат минимум метаданных (Signal в 2016 году публиковала, что в ответ на повестку федерального суда они смогли предоставить только дату создания аккаунта и дату последнего подключения — больше у них реально не было). Финансируется некоммерческим Signal Foundation, без рекламы. Исходный код открыт. Это, наверное, лучшее, что у нас есть для приватной переписки в массовом сегменте. В РФ он заблокирован как раз из-за того, что переписки в нём недоступны для прочтения третьими лицами, а это противоречит требованиями закона об ОРИ.

SimpleX — отдельная история, которая заслуживает упоминания именно в этом контексте. У всех остальных мессенджеров (включая Signal) есть фундаментальная общая черта: они знают, кто вы. Signal привязан к номеру телефона. Telegram тоже. WhatsApp — тем более. Даже если содержимое переписки они не видят, факт самого вашего существования как пользователя у них зафиксирован. У SimpleX этого нет — он сознательно отказался от любых идентификаторов пользователя. Сервер не знает, какие пользователи к нему подключены, потому что пользователей как объектов в его модели данных просто не существует. Это переизобретение модели приватности на уровне архитектуры протокола, и я уже разбирал его в отдельном посте. Если для вас приватность важнее удобства, SimpleX сегодня — главная альтернатива Signal.

WhatsApp использует тот же Signal Protocol для шифрования содержимого, но Meta собирает огромное количество метаданных: с кем вы переписываетесь, как часто, в какое время, какие группы. Метаданные часто говорят больше, чем содержимое. Метаданные интегрируются в общий профиль Meta вместе с данными из Instagram и Facebook.

Telegram — отдельная история. Шифрование сквозное только в «секретных чатах», которые по умолчанию выключены. Обычные чаты шифруются только между клиентом и сервером — то есть Telegram-серверы видят содержимое. У Telegram сложная история с регуляторами (он отказывался выдавать данные ФСБ в 2017–2018, потом его пытались блокировать в России, потом разблокировали, потом репутация менялась туда-сюда). Внутри компании прошли реорганизации. После ареста Павла Дурова во Франции в августе 2024-го (по обвинениям в недостаточном сотрудничестве с правоохранительными органами в делах, не связанных с приватностью) Telegram объявил, что начнёт выдавать данные пользователей по законным запросам.

iMessage — шифрование сквозное, но Apple по умолчанию делает бэкап вашей переписки в iCloud, и этот бэкап Apple может расшифровать, если у вас не включена Advanced Data Protection (она введена в 2022 году, по умолчанию выключена, и большинство пользователей о ней даже не знают). То есть формально iMessage защищён, на практике — обычно нет.

WeChat, Line, KakaoTalk — национальные мессенджеры, для которых сотрудничество с местными властями встроено в саму архитектуру. О них я говорить не буду, потому что их пользователи обычно сознательно принимают эти правила.

Примечание. Понятие организатора распространения информации (ОРИ) ввёл в российское законодательство Федеральный закон №97-ФЗ от 5 мая 2014 года: он добавил статью 10.1 в базовый Закон об информации №149-ФЗ от 27 июля 2006 года. Обязанность хранить содержимое переписки за шесть месяцев и метаданных за год, а также предоставлять ФСБ ключи для расшифровки содержимого, появилась в так называемом «пакете Яровой» — Федеральные законы №374-ФЗ и №375-ФЗ от 6 июля 2016 года, основные положения которых вступили в силу 1 июля 2018 года. С этого момента любой сервис, через который пользователи обмениваются сообщениями, обязан регистрироваться в Роскомнадзоре и обеспечивать выдачу содержимого по требованию ФСБ. Сервисы, у которых сквозное шифрование настоящее (то есть ключи существуют только у пользователей и физически не могут быть переданы третьей стороне), это требование исполнить не могут.

Именно поэтому в РФ заблокированы Signal и SimpleX — оба сервиса по архитектуре не способны передать содержимое переписок, потому что ключей для расшифровки переписок у них нет. Голосовые и видеозвонки WhatsApp Роскомнадзор заблокировал в августе 2025 года, а 11 февраля 2026 года домены whatsapp.com и web.whatsapp.com исключили из Национальной системы доменных имён (НСДИ) — обязательной DNS-инфраструктуры всех российских провайдеров. С этого момента WhatsApp в РФ доступен только через VPN или сторонние DNS-резолверы.

Telegram блокировали в 2018–2020-м, потом разблокировали (де-факто за счёт договорённостей, о деталях которых открытой информации нет). А 10 февраля 2026 года Роскомнадзор официально признал, что снова замедляет его работу — через систему ТСПУ (технических средств противодействия угрозам) на основе глубокой инспекции пакетов (DPI). К середине марта 2026-го доля неуспешных запросов к серверам Telegram из России выросла примерно до 80%, у пользователей перестали грузиться медиа, потом и текстовые сообщения. 23 марта Госдума приняла закон, позволяющий Роскомнадзору самостоятельно блокировать трафик через ТСПУ, без участия провайдеров. К началу апреля 2026-го объявлено о полной блокировке.

Таким образом, в РФ требования закона прямо противоположны тому, что для пользователя означает «приватный мессенджер»: чем приватнее сервис, тем выше шанс, что им станет нельзя пользоваться без спецсредств.

В итоге картина такая: если вам важна приватность переписки, у вас по сути два реалистичных выбора — Signal для массовой связи и SimpleX для самых чувствительных разговоров. Но следует иметь в виду, что без трехбуквенного заклинания они не работают. Ну а все остальные мессенджеры, которые работают в РФ, не обеспечивают приватность ни в каком виде. Ваши переписки могут читать. Личные тоже. Просто имейте это в виду, когда соберётесь высказаться откровенно в переписке с другом.

5. «Защищённая» почта и судебные запросы

С почтой история ещё интереснее. Сервисы вроде ProtonMail и Tutanota продают себя как «защищённую» почту с серверами в Швейцарии и Германии, со сквозным шифрованием, со слоганами вроде «мы не можем прочитать ваши сообщения». И это правда, но только частично.

Есть нюанс, который многие пользователи упускают. Содержимое писем действительно зашифровано так, что сервис не может его прочитать. А вот метаданные — кто, кому и когда написал, с какого IP-адреса, с какого устройства — сервис видит, и обязан выдавать по законным запросам своей юрисдикции.

Этот факт стал достоянием публики в сентябре 2021 года. Французская полиция расследовала деятельность группы климатических активистов, которая занимала здание в Париже. Один из активистов использовал для координации ProtonMail. Французская полиция через швейцарское правовое сотрудничество обратилась к ProtonMail с официальным запросом. ProtonMail передал IP-адреса, с которых аккаунт активиста заходил в почту. Активиста идентифицировали и задержали.

ProtonMail объяснил: они обязаны соблюдать швейцарское законодательство, в рамках которого действительный судебный запрос требует выполнения. Они не хранят содержимое (его они физически не могут расшифровать), но логи подключений — это другая категория данных, и она доступна по запросу.

Это вызвало большой скандал. ProtonMail после этого изменил свою формулировку маркетинга и добавил предложение Tor-доступа для пользователей, которым важно скрыть свой IP. Но фундаментальная архитектура осталась той же: швейцарская компания, обязанная подчиняться швейцарскому суду.

Похожая история была у Tutanota (теперь Tuta Mail) с немецкими судами в 2020–2021 годах: им предписывали мониторить новые входящие письма для конкретных аккаунтов в реальном времени. Tutanota подчинилась.

Ещё более показательный случай — Hushmail в 2007 году. Канадский «защищённый» почтовый сервис передал расшифрованные сообщения американскому DEA по запросу через канадские суды. Hushmail тогда честно объяснил: их «сквозное шифрование» происходило в Java-апплете на стороне клиента, и при необходимости они могли подменить апплет так, чтобы он передал пароль пользователя на сервер. Технически это была идеальная схема для соблюдения закона при сохранении маркетингового заявления о безопасности.

Вывод простой: любой почтовый сервис в любой юрисдикции выдаст данные по законному запросу. Это не недостаток конкретного сервиса, это свойство системы. И если для вас важна полная приватность переписки, единственный путь — свой собственный почтовый сервер или прямое использование PGP с обменом ключами вне сервиса.

6. Облачные хранилища

С облачными дисками ситуация ещё хуже, потому что туда мы загружаем не короткие тексты, а целые архивы наших жизней — фотографии, документы, проекты.

Google Drive, Microsoft OneDrive, Apple iCloud, Dropbox, Yandex.Disk — все эти сервисы хранят ваши файлы на своих серверах в незашифрованном для них виде (или в виде, который сервис может расшифровать). Это значит, что технически сервис может:

  • просматривать содержимое любого файла;
  • сканировать содержимое автоматически (для модерации, для рекламы, для тренировки моделей машинного обучения);
  • предоставлять файлы правоохранительным органам по запросу;
  • закрыть ваш аккаунт, если их алгоритмы посчитают содержимое нарушением правил, иногда без возможности апелляции.

Несколько ярких случаев последних лет.

Apple CSAM Detection (август 2021). Apple объявила о технологии, которая будет автоматически сканировать фотографии пользователей в iCloud Photos на предмет соответствия известным образцам жестокого обращения с детьми (CSAM). Технология использовала нейросетевые отпечатки и должна была работать «на устройстве» с отправкой только подозрительных совпадений. Цель — благородная. Но криптографическое сообщество и правозащитники объяснили: технология создаёт инфраструктуру для любого сканирования данных пользователей. Если эта технология есть, никто не помешает её расширить на другие категории контента, включая политически чувствительные. Под давлением Apple отказался от запуска CSAM-сканирования в декабре 2022 года.

Google Photos и распознавание лиц. Google Photos автоматически распознаёт лица на ваших фотографиях, группирует их по людям, может находить вас на фотографиях других пользователей (если у вас есть общие фото). Это удобно. Это также означает, что Google имеет в своих базах детальную карту того, кто с кем фотографировался — потенциально мощнейший инструмент социального анализа.

Adobe и обновление условий использования (июнь 2024). Adobe в феврале 2024 года обновил условия использования своих сервисов (Creative Cloud), добавив пункт, который сообщество интерпретировало как разрешение использовать содержимое пользователей для тренировки моделей машинного обучения. Это вызвало взрыв в сообществе художников, фотографов, дизайнеров: люди, которые годами использовали Photoshop и Lightroom для коммерческой работы, обнаружили, что их собственные изображения могут быть использованы как тренировочный материал для конкурирующих ИИ-моделей. Adobe потом частично переписал условия, добавил исключения, объяснял, что не использует материалы для тренировки, но осадок остался.

Это, наверное, главный сдвиг последних двух лет. Если раньше «облачное хранилище» означало «другая компания хранит ваши файлы на своих серверах», то теперь это означает «другая компания может тренировать ИИ-модели на ваших файлах». Это качественно новая категория проблемы.

нд) делает скриншот всего экрана и сохраняет его, чтобы потом можно было «найти всё, что вы делали на компьютере» через поиск. Анонс вызвал немедленный взрыв в сообществе безопасности: исследователи показали, что в первоначальной реализации база данных скриншотов лежала в открытом виде, доступна локально без шифрования, и любая программа на компьютере (включая вредоносную) могла её прочитать. Microsoft отложил релиз, переписал реализацию с использованием Windows Hello и шифрованием, потом снова отложил. К началу 2026 года Recall существует, но включается явно. Сам факт, что Microsoft серьёзно рассматривал такую функцию по умолчанию, — это новая глава в отношении операционной системы к пользователю.

macOS ведёт себя более сдержанно, но тоже отправляет зн## 7. Уровень операционной системы

Можно подумать: ладно, мы откажемся от облачных сервисов, поставим всё локально, и тогда хотя бы операционная система останется нашей. К сожалению, нет.

Windows 11 собирает значительный объём телеметрии по умолчанию. Microsoft публично описывает её как «технические сведения» — типа какие функции используются, как часто падают приложения. На практике объём данных намного больше, чем нужно для диагностики. Существуют отдельные инструменты (O&O ShutUp10++ и подобные), помогающие отключить максимальное количество телеметрии. Сам факт того, что для отключения нужны отдельные инструменты, говорит о многом.

В мае 2024 года Microsoft анонсировала Windows Recall — функцию, которая периодически (каждые несколько секуачительный объём данных в Apple. С каждой версией добавляются новые ИИ-функции (Apple Intelligence в macOS 15), которые по умолчанию используют облачные серверы Apple для обработки запросов. Apple клянётся, что приватность сохраняется через Private Cloud Compute. Технически это, возможно, правда. Но по сути это означает, что я больше не понимаю, какие именно мои данные уходят в Apple-инфраструктуру.

Android в стандартных сборках от Google (на устройствах с Google Play) собирает огромный объём данных как через Google Services, так и через приложения, в которые встроены аналитические библиотеки. Альтернативные сборки (GrapheneOS, CalyxOS, LineageOS без G-Apps) существуют, но они требуют специфических устройств и серьёзной возни. Я в итоге купил себе Google Pixel и установил туда GrapheneOS вместо оригинальной гугловской системы — про устройство этой ОС, её модель угроз и реальный опыт перехода я уже подробно писал в двух отдельных постах.

ChromeOS — это, наверное, самый чистый случай. Это операционная система, которая дизайнерски является продолжением Google в форме железа. Если вы готовы к тому, что Google знает о вас всё, это нормальный выбор. Если нет — это не для вас.

И вот в этом контексте начинают становиться интересными альтернативы. Linux (особенно дистрибутивы вроде Debian, Fedora, Arch без проприетарных компонентов) — реальная и работающая альтернатива. Большинство Linux-дистрибутивов не собирают никакой телеметрии. Большинство Linux-приложений (текстовых редакторов, IDE, мессенджеров) — open source и не отправляют куда-либо данные о вашем использовании. Это не идеально (Linux-сообщество тоже не безгрешно), но это качественно другая ситуация.

А OpenBSD — это вообще отдельный разговор, к которому я ещё вернусь.

8. Цепочка поставок: история xz-utils

А теперь самая драматичная часть. До сих пор мы говорили о том, что коммерческие сервисы собирают данные. Но есть категория проблемы, которая страшнее: что если код, на котором работает вся ваша инфраструктура, скомпрометирован?

Современное программное обеспечение — это гигантский клубок зависимостей. Простая Node.js-программа из десяти строк может тащить за собой сотни npm-пакетов, написанных разными людьми в разных странах. Linux-дистрибутив включает тысячи пакетов, поддерживаемых разными мейнтейнерами. Python-приложение использует десятки PyPI-библиотек. И каждая из этих зависимостей — потенциальная точка атаки.

В 2024 году произошла история, которая стала самым ярким примером в истории open source. Называется она xz-utils backdoor, или CVE-2024-3094.

xz-utils — это набор утилит сжатия данных, используемый практически во всех Linux-системах. Не самая известная библиотека, но критическая часть инфраструктуры. С 2009 года её поддерживал финский разработчик Ларс Коллин (Lasse Collin), один человек, в свободное от работы время.

В 2021 году в проект пришёл новый контрибьютор под именем Jia Tan. Он начал с обычных полезных правок: исправления багов, улучшения производительности, доработок документации. Постепенно завоёвывал доверие. В то же время в проекте появлялись жалобы от других «пользователей» (как теперь подозревают, фейковых), что Коллин не успевает поддерживать проект, что нужны новые мейнтейнеры. Коллин, действительно перегруженный, постепенно передавал больше прав Jia Tan. К началу 2024 года Jia Tan фактически стал основным мейнтейнером.

29 февраля 2024 года был выпущен релиз xz-utils 5.6.0, а 9 марта — 5.6.1. В этих релизах был тщательно спрятанный бэкдор. Он не присутствовал в исходном коде, а был зашит в тестовые файлы (специально сконструированные «битые» архивы). Во время сборки специальный скрипт извлекал из них вредоносный код и встраивал его в библиотеку. Бэкдор активировался при подключении по SSH и позволял удалённому атакующему, знающему правильный ключ, выполнить любой код на скомпрометированной системе.

Если бы релиз 5.6.1 успел попасть в стабильные ветки Debian, Ubuntu, Red Hat, это была бы, наверное, крупнейшая компрометация интернет-инфраструктуры в истории. Огромная часть мировых SSH-серверов оказалась бы в распоряжении неизвестного злоумышленника.

Бэкдор обнаружил Андрес Фройнд — инженер Microsoft, занимающийся PostgreSQL. 29 марта 2024 года он отлаживал странность: его тестовый SSH-сервер подключался на полсекунды медленнее обычного. Полсекунды — крошечная задержка. Большинство людей её бы не заметили. Фройнд заметил, начал копать, и обнаружил замаскированный бэкдор. Через несколько часов он опубликовал предупреждение на список рассылки oss-security. К утру 30 марта весь мир уже знал о проблеме. Дистрибутивы откатили обновления. Атака провалилась.

Эта история — поучительная по нескольким причинам.

Во-первых, атаку готовили не меньше двух лет. Это был не одиночный хакер, это была организованная кампания, скорее всего с государственной поддержкой (точно никто не установил, но косвенные признаки указывают на госхакеров). Социальная инженерия с фейковыми аккаунтами, давление на единственного мейнтейнера, постепенное накопление доверия, выбор момента — всё было продумано.

Во-вторых, атаку остановила счастливая случайность. Если бы Фройнд не отлаживал PostgreSQL именно в этот момент, если бы он не был достаточно внимателен, бэкдор попал бы в стабильные системы. Это означает, что другие подобные атаки могут уже идти прямо сейчас, просто мы о них не знаем и не сможем узнать, пока ещё одна счастливая случайность не вскроет ещё один заранее спланированный бэкдор.

В-третьих, и это главное: вся современная цифровая инфраструктура держится на единичных перегруженных мейнтейнерах. Ларс Коллин — швед, который в свободное время поддерживал критическую утилиту, которой пользуются миллиарды устройств. Не за зарплату. Без команды и бюджета на проверку контрибьюторов. Когда новый человек предложил помощь, конечно, он передал часть прав. А что ещё ему было делать?

Это и есть xkcd 2347 «Dependency» — знаменитый комикс Рэндалла Манро, который вышел в августе 2020 года. На рисунке огромная нестабильная башня под названием «Вся современная цифровая инфраструктура» опирается на маленький блок в самом основании: «Случайный проект, который один человек в Небраске поддерживает без оплаты с 2003 года». После истории с xz в 2024 году эта картинка перестала быть смешной — она оказалась буквально документальной.

xkcd 2347 «Dependency» xkcd 2347, Рэндалл Манро, август 2020. Источник: xkcd.com/2347, лицензия CC BY-NC 2.5.

9. Другие случаи цепочки поставок

xz — самый яркий, но не первый и не последний случай.

event-stream (npm, ноябрь 2018). Популярный npm-пакет с миллионами скачиваний в неделю. Его автор Доминик Тарр перестал активно поддерживать проект и передал права новому контрибьютору, который предложил помощь. Новый контрибьютор за несколько месяцев заслужил доверие и в одном из релизов добавил зависимость от другого пакета, который содержал вредоносный код. Цель — кража биткоин-кошельков из конкретного приложения Copay. Это был один из первых громких случаев атаки на npm.

Log4Shell (декабрь 2021, CVE-2021-44228). Уязвимость в Log4j — Java-библиотеке логирования, используемой в миллионах корпоративных приложений. Это не было атакой через цепочку поставок (бэкдора там не было, просто опасная функция, которую можно эксплуатировать), но эффект тот же: одна библиотека была повсюду, уязвимость была критической, обновление потребовалось срочно во всём мире. CISA называла это «одной из самых серьёзных уязвимостей в истории».

SolarWinds (декабрь 2020). Государственная атака (приписывают группе APT29 / Cozy Bear, российской SVR), скомпрометировавшая систему сборки SolarWinds Orion — корпоративного инструмента мониторинга сети. Около 18 тысяч организаций установили скомпрометированное обновление, включая правительственные ведомства США, Microsoft, FireEye. Это, наверное, самый громкий случай атаки на цепочку поставок в истории корпоративного программного обеспечения.

Polyfill.io (июнь 2024). Сервис, который автоматически подгружал миллионам сайтов полифилы — небольшие JavaScript-вставки, которые «дозаполняют» старые браузеры до поддержки новых веб-функций (например, объясняют браузеру, что такое Promise или fetch, если он этого ещё не знает). Название идёт от британской торговой марки шпаклёвки Polyfilla: идея в том, что библиотечка «заделывает дыру» в возможностях браузера. Так вот, в феврале 2024 года polyfill.io был куплен китайской компанией. Через несколько месяцев новый владелец начал внедрять вредоносный код в скрипты, отдаваемые с CDN. Cloudflare и другие провайдеры заблокировали polyfill.io, но многие сайты успели пострадать.

Каждый такой случай — это независимое подтверждение того, что цепочка поставок программного обеспечения сегодня является основным вектором атаки. Не уязвимости в вашем коде, а компрометация чего-то, что вы доверчиво используете.

И это меняет инженерную дисциплину. Раньше «безопасный код» означал «отсутствие SQL-инъекций, переполнений буфера, XSS». Теперь это означает ещё и «контроль над всеми зависимостями, понимание, кто их поддерживает, отслеживание, кто получил права коммита». А когда у вас в проекте триста npm-пакетов, тысяча транзитивных зависимостей, — это становится физически невозможно для одной команды.

10. ИИ как новый агент сбора данных

К традиционным проблемам приватности за последние два-три года добавился новый, качественно отличный класс — сервисы машинного обучения, которые тренируются на ваших данных.

Здесь я хочу подсветить один конкретный аспект — что происходит с данными, которые вы скармливаете ИИ-моделям.

GitHub Copilot. Когда вы пишете код с Copilot, ваш код отправляется на серверы Microsoft/OpenAI для генерации подсказок. По умолчанию, в бесплатных и индивидуальных платных подписках, этот код может использоваться для тренировки следующих версий моделей. В корпоративных подписках (Copilot Business, Copilot Enterprise) Microsoft обещает не использовать данные клиентов для тренировки. Но факт того, что есть разница между тарифами, показывает: для дешёвых тарифов ваш код — это тренировочные данные.

ChatGPT, Claude, Gemini. Аналогично: в индивидуальных подписках данные могут использоваться для тренировки, в корпоративных — обычно нет. Это разница не в качестве сервиса, а в юридических ограничениях использования данных.

Adobe Creative Cloud. История с условиями использования 2024-го года показала, что разработчики коммерческого ПО рассматривают пользовательский контент как потенциальный тренировочный материал. Adobe потом извинился и переписал условия, но осадок остался.

Microsoft Recall. Самый яркий случай. ИИ-функция, которая сохраняет всё, что вы видели на экране, для будущего поиска. Тренировочные данные для модели — буквально ваша полная цифровая жизнь.

Когда мы говорим про традиционные сервисы, мы говорим про сбор данных для рекламы. Это неприятно, но это понятная экономика: ваши данные → реклама → деньги. В случае ИИ возникает другая экономика: ваши данные → тренировка моделей → продукт, который потом конкурирует с вашей работой.

Это особенно болезненно для творческих профессий. Художники, которые годами загружали свои работы в Behance, ArtStation, в облачные сервисы, обнаружили, что их работы стали тренировочным материалом для моделей, которые теперь генерируют похожие изображения за минуты. Программисты обнаружили, что их open-source код использовался для обучения Copilot. Это не воровство в юридическом смысле (часто это разрешено условиями использования, на которые вы согласились). Но это качественно новое отношение между сервисом и пользователем.

11. Импульс «переписать всё под себя»

Сложив всё вышесказанное, я начинаю понимать, откуда мой импульс. Это не отдельная паранойя по одному поводу. Это совокупность мелких неприятных фактов, каждый из которых по отдельности проглатывается, а вместе они складываются в общую картину:

  • мои поисковые запросы анализируются для рекламы;
  • мои письма сканируются для построения профиля;
  • мои переписки в разрешенных мессенджерах могут читать посторонние, потому что по закону их владельцы обязаны открывать доступ к ним по официальным запросам;
  • мои файлы в облаке могут стать тренировочным материалом;
  • моя операционная система отправляет телеметрию;
  • мои зависимости могут содержать бэкдоры;
  • мои ИИ-инструменты могут тренировать модели на моих запросах.

В каждом отдельном случае я могу пожать плечами. В сумме — нет.

Поэтому возникает естественная реакция: уменьшить поверхность доверия. Не уничтожить полностью (это нереально), а переместить максимум функциональности под мой собственный контроль. И обнаруживается, что это сегодня более реалистично, чем десять лет назад.

Self-hosting — самостоятельная установка серверных сервисов у себя дома или на VPS — стал отдельной субкультурой. Из значимых проектов:

Nextcloud — open-source замена Google Drive, Office 365, Calendar, Contacts. Ставится на свой сервер, синхронизирует файлы между устройствами, имеет приложения для всех платформ. На 2026 год — это, наверное, главный self-hosted проект Европы.

Synapse / Matrix — open-source мессенджер на базе протокола Matrix. Можно поставить свой сервер, переписываться с другими серверами по федеративному протоколу. Используется правительством Германии (для внутренних коммуникаций), французской армией и многими другими организациями, которым важна суверенность.

Vaultwarden — self-hosted менеджер паролей, совместимый с клиентами Bitwarden. Полностью под вашим контролем.

Plausible / Umami — простая веб-аналитика без cookies и без отправки данных третьим сторонам, ставится на свой сервер.

Tailscale или его open-source аналог Headscale — VPN-mesh для связи ваших устройств без обращения к чужим серверам.

Mailcow / Mail-in-a-Box — готовые сборки почтового сервера для self-hosting. Технически работают, но требуют постоянного внимания (DNS, репутация IP, спам-фильтры).

Jellyfin — open-source замена Plex/Netflix для собственного медиа-сервера.

Forgejo / Gitea — self-hosted альтернативы GitHub для хранения собственного кода.

Это работающие проекты. Их ставят и пользуются. Не миллионы людей, но десятки тысяч точно. И каждый человек, который ставит себе Nextcloud, проводит маленький эксперимент: возможно ли в 2026 году жить с собственной инфраструктурой?

12. Где self-hosting утопия

Честно скажу: полный отказ от чужих сервисов невозможен. Есть категории, в которых self-hosting не работает.

Поиск в интернете. Поднять у себя дома индекс всего интернета вы не можете. Возможны компромиссы — мета-поисковики вроде SearXNG, которые проксируют ваши запросы в Google/Bing/DuckDuckGo, не позволяя последним связать запросы с вами. Это работает, но это не полная независимость.

Карты. Open Street Map — отличный проект, но без коммерческих сервисов вы не получите актуальные данные о пробках, время в пути с учётом транспорта, корректные данные о бизнесах. Можно сделать многое. Идеала не будет.

Большие модели ИИ. Локально можно запустить модели до примерно 70 миллиардов параметров (на мощном железе). Это полезно, и многие модели open source — Llama, Mistral, DeepSeek, Qwen — отличного качества. Но самые мощные на сегодня модели (Claude Opus, GPT-5, Gemini Ultra) у вас дома не работают: они слишком большие, чтобы поместиться в память даже самой дорогой потребительской видеокарты. Если вам нужен лучший доступный ИИ, придётся использовать чужие серверы.

Коммуникации с миром, который не self-host. Ваши друзья и знакомые не поставят себе Matrix-сервер. Коллеги работают в чужих сервисах: в моём случае это российские Контур.Толк (KTalk), Loop, Yonote, Яндекс Документы. Раньше я общался с большинством знакомых в Telegram, но после того как в РФ его сначала жёстко замедлили, а потом и заблокировали, многие переехали в государственный мессенджер MAX (его в августе 2025 года Госдума официально сделала «национальной коммуникационной платформой», а позже сделала обязательным к предустановке на новые смартфоны и планшеты). На моих устройствах MAX я ставить не собираюсь, но это означает, что часть привычного круга общения из моей картины мира фактически выпала.

Финансы, документы, государственные сервисы. Банковские приложения, госуслуги, налоговые сервисы — здесь self-hosting невозможен по определению. Это инфраструктура внешних организаций.

Поэтому реалистичный план — не «отказаться от всех чужих сервисов», а разделить инфраструктуру на категории.

Категория «критически важное» — то, что должно быть под моим прямым контролем. Тексты, исходный код, личные документы, фотографии, переписка с близкими. Сюда self-hosting подходит идеально.

Категория «полезное, но не критическое» — то, что я могу использовать в чужих сервисах с пониманием, что они собирают данные. Карты, поиск, развлекательные сервисы, новости.

Категория «необходимо для социума» — то, без чего нельзя жить в обществе. Государственные сервисы, банковские приложения, рабочие коммуникации. Здесь мы платим тем, что есть, потому что альтернативы нет.

Это и есть гибридная стратегия. Не отказ от мира, а аккуратное разделение того, что внутри моей сферы контроля и что вне её.

13. Почему OpenBSD: серьёзный разбор

И здесь я возвращаюсь к диску, который у меня лежит на столе.

OpenBSD — операционная система, появившаяся в октябре 1995 года как форк NetBSD. Её основатель и до сих пор основной идеолог — Тео де Раадт (Theo de Raadt), южноафрикано-канадский разработчик, известный исключительной строгостью технических стандартов и тем, что он никогда не поступается принципами ради чьего-то удобства.

Главное про OpenBSD: это первая в мире коммерческая операционная система, чьим главным архитектурным приоритетом является безопасность. Не функциональность. Не удобство. Не совместимость. Безопасность.

Известный неофициальный слоган проекта:

Only two remote holes in the default install, in a heck of a long time! («За много лет — всего две удалённые уязвимости в установке по умолчанию!»)

Это правда. Если посчитать критические удалённые уязвимости, которые позволяли скомпрометировать OpenBSD без действий пользователя, за тридцать лет их было всего две. Для сравнения, у Windows или Linux таких уязвимостей обнаруживают десятки в год.

Почему так? Несколько практик, которые OpenBSD культивирует более жёстко, чем другие системы.

Полный аудит кода. В первые годы проекта команда OpenBSD прошла построчным аудитом весь базовый дистрибутив. Не «нашли несколько багов и поправили», а систематический пересмотр каждой строки кода с точки зрения безопасности. Эта практика продолжается на новом коде.

Минимализм по умолчанию. В установке OpenBSD по умолчанию включены минимально необходимые службы. SSH-сервер работает, но больше почти ничего. Хотите веб-сервер — поставьте сами и сконфигурируйте. Это сильно отличается от Linux-дистрибутивов, где «всё включено», и от Windows, где значительная часть сервисов запущена «на всякий случай».

Безопасные значения по умолчанию. Если в системе есть выбор «удобнее vs безопаснее», OpenBSD почти всегда выбирает «безопаснее». Демоны запускаются от непривилегированных пользователей, в chroot. Конфигурации по умолчанию строгие.

Собственные технологии безопасности. Многие техники, которые потом перекочевали в Linux, Windows и macOS, появились в OpenBSD первыми:

  • W^X (write XOR execute) — память может быть либо записываемой, либо исполняемой, но не одновременно. Внедрено в 2003 году.
  • Address Space Layout Randomization (ASLR) — рандомизация адресов памяти, чтобы атакующий не мог надёжно эксплуатировать уязвимости. OpenBSD внедрил полноценный ASLR раньше других массовых систем.
  • pledge() (2015, OpenBSD 5.9) — системный вызов, через который программа сама себя ограничивает: «я обещаю системе, что буду использовать только эти возможности». Если программа потом попытается сделать что-то за пределами обещания, ядро её убьёт. Это драматически уменьшает поверхность атаки.
  • unveil() (2018, OpenBSD 6.4) — то же самое для файловой системы: «я обещаю, что буду читать только эти каталоги, писать только в эти». Любая попытка выйти за пределы — мгновенный SIGKILL.
  • LibreSSL — форк OpenSSL после катастрофической уязвимости Heartbleed в апреле 2014 года. Команда OpenBSD проанализировала OpenSSL и пришла в ужас от качества кода. За пару месяцев выкинули из него больше половины — мёртвый код, поддержку VMS и древних платформ, странные обходные пути, накопившиеся за десятилетия. То, что осталось, и есть LibreSSL — намного чище, безопаснее, аудируемее. По умолчанию используется в OpenBSD и нескольких Linux-дистрибутивах.
  • OpenSSH — да, тот самый, которым пользуется весь интернет, тоже родом из OpenBSD. Команда сделала из коммерческого SSH 1996 года полностью открытую реализацию, и за 25 лет OpenSSH стал стандартом удалённого доступа на всех Unix-подобных системах. Это, возможно, самый успешный экспортный продукт OpenBSD-проекта.
  • PF (Packet Filter) — один из лучших файрволов в мире, простой в конфигурации, отлично документированный.
  • doas — минималистичная замена sudo, написанная с нуля с акцентом на простоту и отсутствие сюрпризов.

Скромные системные требования. OpenBSD прекрасно работает на старом железе. Для текстовой работы и программирования хватает компьютера десятилетней давности. Я ставлю на SSD, у меня будет работать с запасом.

Графическое окружение. Из коробки OpenBSD предлагает Xfce — лёгкое и при этом функциональное окружение, которое отлично подходит для повседневной работы. Также есть варианты с i3 или dwm для тех, кто предпочитает тайлинговые менеджеры. Браузер (Firefox или Chromium), текстовый редактор (Neovim, Emacs), офисные пакеты (LibreOffice), редакторы изображений (GIMP, Krita) — всё работает.

Не идеально для всего. Честно: на OpenBSD нет некоторых коммерческих программ. Adobe Creative Cloud не работает. Игры в Steam — в основном нет, но мне и не надо, потому что я не играю. Корпоративные клиенты типа Microsoft Teams или Slack мне не нужны. Если ваша работа требует одной из этих вещей, OpenBSD как основная система не подойдёт.

Но для писателя, программиста, человека, работающего с текстом, кодом, лёгкой графикой OpenBSD сегодня идеальна. И это, наверное, главная причина, почему я серьёзно собираюсь его поставить. Не из идеологии. Из практичности.

Я планирую отдельный пост про гиковское рабочее место писателя-программиста, где расскажу что и как ставил, как всё прошло, какие приложения и спользовал и как организовал рабочий процесс.

14. Финал: новая дисциплина

Из всего перечисленного выше для меня вытекает один простой вывод: то, что раньше казалось избыточной мерой осторожности, сегодня превратилось в обычную цифровую гигиену.

Эпоха, в которой я доверял цифровым сервисам, закончилась. Может быть, она и не начиналась — может быть, я просто был наивен. Но сегодня у меня уже нет основания доверять. Слишком много историй, слишком много свидетельств. Слишком очевидно, что мои данные — это сырьё в чужой производственной цепочке, и сервисы, которыми я пользуюсь, имеют свои собственные интересы, не совпадающие с моими.

И при этом я не хочу отказаться от цифровой жизни. Я не хочу жить в лесу с печатной машинкой. Я хочу пользоваться интернетом, языковыми моделями, цифровыми инструментами. Просто на других условиях. На моих.

Эти условия я бы сформулировал так: нулевое доверие как новая дисциплина. Не паранойя, не отказ, не изоляция. А постоянная привычка задавать себе вопросы:

  • кто получает доступ к этим данным?
  • по каким правилам?
  • могу ли я переместить эту функциональность под свой контроль?
  • если не могу — могу ли я хотя бы уменьшить количество данных, которые отдаю?

Эта дисциплина даёт результат не сразу. Маленькими шагами: вот я перевёл переписку с близкими в Signal. Вот я поставил себе менеджер паролей на свой сервер. Вот я начал держать критически важные документы локально, а не в облаке. Вот я готовлю OpenBSD для основной работы. Каждый шаг небольшой, в сумме они меняют архитектуру моей цифровой жизни.

И эта новая архитектура — не отказ от современного мира, а возвращение контроля. Я хочу быть хозяином своих инструментов, а не аккаунтом в чужой системе.

Может, это и есть главное определение «эпохи недоверия». Это не апокалипсис и не торжество паранойи. Это конец молчаливого допущения, что технологические компании работают в моих интересах. И начало эпохи, в которой за свои интересы в цифровом мире придётся заступаться самостоятельно — никто другой за нас этого не сделает.

Сегодня всё больше людей приходят к этому. И, возможно, через пять-десять лет self-hosting перестанет быть гиковской практикой и станет нормальной частью жизни. Я за такой исход.

В следующих материалах я планирую вернуться к этой теме с практической стороны. Отдельный пост про OpenBSD как рабочее место. Возможно, отдельный материал про self-hosting с конкретными рекомендациями. И, обязательно, материал про цепочку поставок программного обеспечения — это огромная отдельная тема, которую xz-инцидент сделал критически важной.

Если этот пост заставил вас задуматься о собственных цифровых привычках — значит, время потрачено не зря. Возвращение контроля начинается с того, чтобы заметить, где вы его потеряли.

Дополнительное чтение

Конкретные случаи

Self-hosting

OpenBSD

Приватность и инфраструктура

Предыдущий
Наверх