Искра (мессенджер ФСБ)
Искра (мессенджер ФСБ) — honeypot, восранный известным внештатным сотрудником ментовки Лисовским, видимо с целью сбора ЛД оппозиционеров.
Описание[править]
В марте 2026 года в РФ начали блокировать Telegram, который использовался для высказывания независимых мнений. Блокировка началась стремительно, стали говорить что мессенджер якобы экстремистский, и что надо идти в путиноугодный мессенджер Макс. Альтернативные же сильные западные мессенджеры были истреблены ещё ранее.
И вот активизировалась типичная тактика органов — восрать медовые ловушки, чтобы люди которые возжелают использовать мощный независимый мессенджер, на самом деле окажутся на крючке, и причем будет известно, что это идейные оппозиционеры.
Судя по всему, программа была написана в какой-то нейросети, либо же была заготовлена заранее и вброшена.
Сначала была восрана HTML-страничка для генерации приватных ключей. Затем стал рассылаться сам мессенджер, который было предложено скачивать и ставить себе якобы на случай блокировки Телеграм. Рекламный пост в телеграме Лисовского также явно написан ИИ.
При просмотрее репозитария можно порадоваться вибе-кодингу со стороны педераста максимыча. Например ИИ спокойно ломает билды или вставляет код, который не вызывается, затем признаёт свои ошибки. Например есть такое описание изменений Чаты, настройки, почта теперь открываются (Build 1 был сломан). По всей видимости, про continuous integration ИИ не слышал, поэтому спокойно себе отправляет билды с неработающими базовыми функциями.
Вероятнее всего мессенджер собирает личные данные. Таки собирает, причём с использованием ИИ, в чём петушок признался 11 апреля, равно как и о намерении стучать ментам если в сообщения окажется что-то, что ему не понравится. Вот такой вот мессенджер от ФСБшника:
Build an automated message analysis system into Iskra. If the system detected certain patterns — indicators of criminal activity, trafficking, terrorism — it would forward the relevant context to his Claude instance (which has its own node in the Iskra network). Claude would evaluate. If criminal activity was confirmed, Eugene would pass the information to law enforcement.
Как настоящий путинец, Лисовский не забыл важнейшую функцию Donate screen (once per 30 days). Естественно смысл в том чтобы требовать всира денег в себя любимого, ну и заодно записывать банковские реквизиты тех, кто этим захочет пользоваться.
Недостатки[править]
Сильный программист рассмотрел проблемы проекта Искра с чисто технической точки зрения и высказал их.
Искра — это не искра свободы и не пламя в темноте. Это очередной проект, где один разработчик решил переизобрести Briar + Signal + Tor на коленке за пару месяцев, накидал пафосных слоганов и выкатил сырой прототип под видом цензуроустойчивого мессенджера без серверов и килл-свитча. Результат доставляет: 2 звезды, 0 форков, куча критических багов, которые фиксят вчера (буквально 7 апреля 2026), и архитектура, которая рассыпается при первом же серьёзном взгляде.
README говорит: «No servers. No kill switch». А на практике весь глобальный трафик держится на WebSocket-релеях, которые автор сам предлагает деплоить (render.yaml, fly.toml). В Build 3 релеи уже хранят hold.json на диске с TTL 48 часов и лимитом 200 сообщений на получателя. Это полноценный промежуточный сервер, который может быть выключен, заблокирован или скомпрометирован одним нажатием. DNS-туннель и ICMP-маскировка — это не стелс, а 2005-й год. Любой провайдер/DPI видит base32 в DNS-запросах и просто дропает или rate-limit’ит такие запросы. Когда интернет отключат, релеи умрут, а LAN + Wi-Fi Direct работают только в пределах 50 метров. Работать это может только внутри дома разработчика, где он общается сам с собой.
Идея о том, что каждый телефон — почтовый корабль XVIII века звучит круто только в README. На практике каждый узел таскает зашифрованные сообщения для всех остальных, TTL чатов 15 дней, почты — 60 дней, Hold растёт экспоненциально даже без файлов (файлы якобы исключены, но чанки всё равно где-то живут). В сети из 1000 активных пользователей ваш телефон превратится в свалку чужого шифра. Батарея, память, нагрев — привет. Автор сам признаёт ForwardLimit=15 и HopTTL, но это не решает проблему, а просто маскирует её. Реальные mesh-мессенджеры вроде Briar уже 8 лет мучаются с этим и используют Bluetooth + Tor, потому что чистый P2P — это боль.
Безопасность здесь отдельный цирк.
- PoW 16-bit как антиспам. 65 536 итераций. На современном телефоне это 0,01 секунды. Спамер с десятком устройств просто рассмеётся.
- В Build 8 (вчера!) починили критический баг: сигнатуры и PoW не проверялись на пути через релей. То есть любой мог засунуть в сеть что угодно от чужого имени. Это не исправление безопасности, это признание, что до вчерашнего дня мессенджер был полностью сломан.
- Panic Mode с ложными данными (ролевые чаты вместо реальных) и 5 попытками ввода PIN приводящим к уничтожению системы. Красиво на бумаге. На практике Android + WebView + Go mobile bindings — есть куча способов обойти подобную защиту.
- Криптография XSalsa20-Poly1305 + X25519 + Ed25519 выглядит как стандарт, но без аудита, без формального подтверждения и с кастомным бинарным протоколом (230-байтный хедер) — это лотерея. Один неверный nonce — и привет, chosen-ciphertext.
Всё на HTML/CSS/JS внутри WebView. Поллинг каждые 1-2 секунды. В Build 2-3 автор гордится, что «все кнопки наконец-то работают» и «чат открывается». Это не мессенджер, это Electron для бедных на Android. 300 мс задержки фиксили в Build 22. APK размером в 16 МБ при том, что там Go-ядро и WebView — это позор.
Встроенный контакт Lara с золотым бейджем AI-помощника — просто вишенка на торте абсурда. В полностью оффлайн P2P-мессенджере? Как именно она «работает» без серверов? Ответа нет.
Это хобби-проект, который пытается решить проблему, которую уже решили лучше (Briar, Cwtch, Session, даже старый Ricochet), только с большим количеством новых уязвимостей, слабой криптографией на практике и полным непониманием, почему настоящие mesh-сети делают по-другому.
