Добавить в корзинуПозвонить
Найти в Дзене
IT вопросы, Linux
11 подписчиков

Что не так с национальным мессенжером МАКС

8
10 мин
Мы все является свидетелями и участниками процесса, когда Минцифры и Роскомнадзор совместными усилиями «переводят аудиторию» из «ненадёжного мессенджера» в национальный мессенджер МАКС. Сама идея национального мессенджера является правильной и логичной. И я поддерживаю необходимость и значимость создания такого мессенджера. Однако, увы, вместо нормального адекватного результата исполнители (в широком смысле - все причастные к проекту) добились обратного эффекта — раздражения населения из-за блокировок связи, паралича бизнеса, который годами полагался на мобильную связь. Даже патриоты России (например, я считаю себя патриотом) в полном недоумении от происходящего и в непонимании — как можно были изгадить такое простое дело — сделать мессенджер максимально похожий на тот, к которому привыкли люди и обеспечить для пользователей максимально простую миграцию. Эта идея "взлетела бы" "на ура" без негатива. Ниже я попробовал проанализировать - что не так с мессенджером МАКС (и с программой
Оглавление

Мы все является свидетелями и участниками процесса, когда Минцифры и Роскомнадзор совместными усилиями «переводят аудиторию» из «ненадёжного мессенджера» в национальный мессенджер МАКС.

Сама идея национального мессенджера является правильной и логичной. И я поддерживаю необходимость и значимость создания такого мессенджера. Однако, увы, вместо нормального адекватного результата исполнители (в широком смысле - все причастные к проекту) добились обратного эффекта — раздражения населения из-за блокировок связи, паралича бизнеса, который годами полагался на мобильную связь.

Даже патриоты России (например, я считаю себя патриотом) в полном недоумении от происходящего и в непонимании — как можно были изгадить такое простое дело — сделать мессенджер максимально похожий на тот, к которому привыкли люди и обеспечить для пользователей максимально простую миграцию. Эта идея "взлетела бы" "на ура" без негатива.

Ниже я попробовал проанализировать - что не так с мессенджером МАКС (и с программой и с проектом вцелом).

Проблема безопасности

К сожалению, я вижу, что МАКС начали интенсивно «нагружать» дополнительным функционалом для подтверждения возраста в магазинах, для получения кодов подтверждения при входе в «Госуслуги». Уже сейчас вход в «Госуслуги» через приложение Android без «Макса» либо не возможен, либо тщательно скрыт (я пытался супруге на планшет поставить Госуслуги и столкнулся с тем, что без MAX в Госуслуги на Android-планшете не зайти).

Таким образом, МАКС утрачивает роль «просто программы для общения» и превращается в официальный канал взаимодействия с Государственными органами от моего имени. Уже в пункте 1.2 Пользовательского соглашения сервиса «MAX» https://legal.max.ru/ps начинают фигурировать ГИС (Государственные Информационные Системы) и интеграции с ГИС.

При наличии MAX, любая утрата смартфона приведёт к тому, что злоумышленник сможет обращаться в органы государственной власти от имени владельца смартфона.

Сейчас злоумышленник сможет в худшем случае связаться со всеми контактами пользователя и попробовать «развести их не деньги» в устной форме. Можно вывести все деньги из мобильного банка (если ПИН код для входа в мобильный банк подобрал или «выбил» у жертвы). Но эти риски можно минимизировать - я могу не ставить на телефон Госуслуги и не ставить на телефон приложения банков, в которых у меня хранятся крупные вклады. Я сам контролирую свои риски.

Однако, мессенджер МАКС «взял курс» на сращивание с Госуслугами и не оставляет пользователям вариантов для минимизации рисков. Сейчас похититель телефона уже, как минимум, может купить алкоголь в магазине от моего имени. А в перспективе может коммуницировать с государственными органами от моего имени.

Ситуация, когда пользователь «сливает» свои доступы случайно или по оплошности - не является редкостью. Я помню случаи, когда сотрудники нашей компании при увольнении возвращали ноутбуки со всеми авторизациями в популярных мессенджерах и потом коллеги видели, как этот пользователь уже в другой компании работает и общается с коллегами. Т.е. утечка может происходить из-за простой оплошности.

Я категорически не хочу, чтобы мой карманный мессенджер превратился в официальный канал взаимодействия с органами государственной власти и чтобы злоумышленник при получении моего телефона мог лишить меня собственности, оформить завещания или доверенности. А «МАКС» развивается именно в этом направлении и это явно просматривается в Пользовательском соглашении.

Проблема безответствености

Несмотря на серьёзные риски, которые создаёт неограниченный «карманный доступ» к важной информации пользователя (финансы, общение с государственными органами), ответственность за всё совершенное в МАКСЕ несёт сам пользователь:

«3.3. В случае успешного выполнения всех регистрационных действий Пользователю создаётся аккаунт на Сервисе. Все действия, совершаемые Пользователем на Сервисе с использованием своего аккаунта, считаются совершенными таким Пользователем лично. Пользователь несет ответственность за все действия, совершенные на Сервисе под своим аккаунтом.»

Таким образом, фальшивые доверенности гипотетические махинации с моей собственностью через мессенджер — это моя зона ответственности и мои проблемы. Однако, я впринципе не хочу, чтобы такие риски были. Я не хочу, чтобы мессенджер сращивался с Госуслугами.

Мне как пользователю общение с госорганами через «карманный мессенджер» — это ненужная функция и лишние риски. Я хочу общаться с Госорганами через нормальный компьютер и писать в госорганы продуманные документы, а не реплики в чате.

Непонятный статус национального мессенджера

В «Пользовательском соглашении сервиса «MAX» не указано кто является собственником информационной Системы.

Из пользовательского соглашения https://legal.max.ru/ps следует, что некое ООО «MAX» «осуществляет оперирование и администрирование Сервисом, а также обеспечивает создание и функционирование многофункционального сервиса обмена информацией при взаимодействии с ГИС». Однако, «управление» и «владение» - это разные понятия.

Было бы более логично, если бы собственник явно обозначил себя. Если собственником является Государство - то почему это не написано в Пользовательском Соглашении?

Насильственное внедрение

Несмотря на концептуальные недостатки системы (продукт развивается «НЕ В ТОМ НАПРАВЛЕНИИ, КОТОРОЕ НУЖНО ОБЩЕСТВУ»), органы власти и ООО «MAX» продолжают двигаться намеченным курсом.

Никто не планирует ничего менять. Просто потому, что под все эти интеграции с ГИС уже запланированы деньги в бюджете. Всем кажется, что ещё десяток интеграций добавят и мессенджер «заиграет новыми красками».

А если «несознательные пользователи» не хотят ставить мессенджер - их просто вынуждают это делать, обрезая доступ к тем или иным функциям Госуслуг, закрывая доступ к другим мессенжерам, закрывая и ограничивая функционал альтернативных мессенджеров (ICQ — закрыла компания VK, Яндекс-Мессенджер не использует контакты из адресной книги телефона).

Насилие обычно приводит явному или тайному сопротивлению. В данном случае это привело к «всплеску» использования VPN и Прокси.

Сопутствующий ущерб при насильственном внедрении

Сопротивление пользователей в виде всплеска использования VPN и Прокси был расценен не как повод к размышлениям «Что не так с проектом MAX?», а как повод к использованию «крайних мер» - блокировке и ограничению мобильного трафика.

Такие меры привели к массовым сбоям при оплате банковскими картами и финансовым убыткам для бизнеса. Но ответственность за это никто не несёт. Это приводит общество к ещё большему раздражению как по отношению к «национальному мессенджеру», так и по отношению к органам власти, которые его «продвигают».

Отсутствие блокировок и ограничений для иностранных СИМ-карт

Как выяснилось, ограничения и блокировки не распространяются на иностранные СИМ карты (Казахстан, Узбекистан и карты других стран).

Т.е. блокировки не имеют никакого отношения к вопросам безопасности при беспилотных атаках (беспилотники с иностранными СИМ картами не имеют никаких ограничений).

Из этого следует, что все «крайние меры» предприняты исключительно для того чтобы «продвинуть национальный мессенджер».

Слежка за пользователями

В интернете масса сообщений про то как «MAX» проверяет доступность Telegram и Whatsup, подслушивает и передаёт информацию. Это, конечно, не приятно. Но я бы поставил эту проблему на последнее место по сравнению со всеми предыдущими. Хотя, безусловно, использовать мой телефон чтобы следить за мной же и ещё смотреть использую ли я VPN или нет — это очень некрасиво.

Я сразу понимаю, что программа написана не для общения, а для других задач.

Угроза миграции пользователей на американские мессенджеры

Я слышал от знакомых, что многие сейчас переходят с «дубайского мессенджера Телеграмм» на американский мессенджер IMO. По функционалу и по интерфейсу они вполне сопоставимы.

Причем, некоторые из этих знакомых являются сотрудниками государственных органов. Т.е. сотрудники российских государственных органов (и другие пользователи) начинают общаться в мессенджере, который функционирует в соответствии с законодательством США. Мессенджер IMO пока не блокируется (весь пыл Роскомнадзора сосредоточен на борьбе с Телеграмм).

Мне кажется, что такая миграция - крайне нежелательна и является ещё одним «сигналом» о том, что РКН и Минцифры делают что-то не то.

Смогут ли Роскомнадзор и Минцифры заблокировать Телеграм?

Телеграмм (в отличие от других мессенджеров) уже один раз неуспешно блокировали 10 лет назад и ещё в те времена Телеграмм серьёзно проработал вопрос обхода блокировок. Был разработан специальный протокол MTPROTO, который «мимикрирует» под обычный сетевой трафик обычного сайта и выявить такой трафик достаточно сложно. Бездумно блокировать такой трафик — нельзя, иначе будут заблокированы тысячи сайтов и сервисов.

Существуют тысячи MTPROTO-прокси, которые идеально решают проблему обхода блокировок без каких-либо VPN.

Сейчас предпринимает Минцифры переходит к следующему этапу «стрельбы из пушки по воробъям»:

  • планируется отслеживать VPN сервисы через все крупные сайты (Яндекс, маркет-плейсы и иные сервисы)
  • планируется вводить санкции за использование VPN вплоть до административной ответственности

Эти меры ничего не дадут в случае использования прокси MTPROTO. А именно этот прокси является «главной занозой», которая не позволяет «придушить» Телеграмм.

Вместе с тем, ввод «административной ответственности» за использование VPN создаст новые сложности для бизнеса и станет новым раздражителем для общества.

Т.е., скорее всего, этот путь приведёт к новому витку эскалации.

Безусловно, заставить пользоваться мессенджером можно многих пользователей. Но такое "насильственное внедрение" даст очень много негатива:

  • Подрыв доверия к Минцифры и иным органам власти (делают и заказывают непонятные и неудобные проекты).
  • Роскомнадзор, депутатский корпус, Минцифры становятся мишенью для анекдотов, потому, что при огромном сопутствующем ущербе не смогли полноценно заблокировать "альтернативный мессенджер". А высмеивание - это очень плохой симптом. И проблема именно в том, что Телеграмм полноценно заблокировать очень сложно.
  • Все мошенничества через МАКС (а они - неизбежны), будут ставить в вину Государству (заставили насильно внедрить "надежный мессенджер, а там жулики обманули").
  • В целом насильственные действия не повышают кредит доверия Государству.

А всего то нужно БЫЛО сесть и подумать - что нужно людям и сделать любой приемлемый вариант.

Что нужно делать и как спасти ситуацию?

Я сторонник того, что России нужен национальный мессенджер. Т.е. отказываться от проекта «MAX» не призываю. Но нужно чтобы без-ответственные государственные чиновники прекратили наносить ущерб экономике и репутации страны в глазах граждан.

  1. Нужно пересмотреть концепцию Государственного мессенджера и ограничить функционал «MAX» только общением. Не должно быть никаких интеграций с Государственными Информационными системами по каким-либо вопросам. Даже возраст подтверждать на кассах самообслуживания нужно не через мессенджер. «Подтверждение» и «общение» - это разные функции.
  2. Все функции подтверждения чего-то или функции взаимодействия с ГИС нужно делать в отдельном приложении с другим названием. Это другое приложение можно ставить или не ставить на усмотрение самого пользователя.
  3. Нужно отстранить от проекта (а лучше — уволить) весь менеджмент и всех тех, что писал и утверждал Технические Задания на систему и необдуманно включил в неё рискованный функционал. Нужно убрать от проекта тех, что невзирая на раздражение общества «через колено» внедрял МАКС с недопустимым «сопутствующим ущербом».
  4. Кто-то, кому люди доверяют, должен возглавить проект и озвучить изменения в концепции развития проекта. Люди должны понимать, что мессенджер останется мессенджером и что команда разработчиков сосредоточится на этой основной функции. С этим — проблема. Среди чиновников таких людей нет и нет гарантий, что через 5 лет адекватного менеджера не «уйдут» и ситуация не изменится.
  5. Необходимо максимально в короткие сроки скопировать функционал наиболее популярного мессенджера практически в полном объёме. Включая API и функционал ботов, который значительно отличен в мессенджера «MAX». Идеально, если можно будет настроить перенос всей старой переписки из других мессенджеров в «MAX». Необходимо сделать так, чтобы миграция на новый мессенджер была максимально безболезненной для людей и для компаний, которые ранее создали большой объём интеграций с ботами Телеграмм.
  6. Блокировку «популярного мессенджера» проще оставить (никто назад сдавать не будет), но необходимо прекратить активную борьбу с мессенджером, попытки отслеживания VPN и прокси.

Самое главное — отстранить некомпетентных менеджеров//чиновников//разработчиков технического задания, которые уже провалили проект и продолжают усугублять ситуацию.