Представь: где-то в Москве в сентябре 2025 года собрались люди в пиджаках. Они пили кофе, листали презентации и очень серьёзно обсуждали, как залезть в твой телефон (да-да, именно в телефон того, кто читает сейчас эти строки). Конференция называлась Moscow Forensics Day — ежегодная тусовка цифровых криминалистов, куда зовут экспертов из коммерческих компаний и, что важно, из Следственного комитета России.
Организаторы думали, что никто лишний не смотрит. Но правозащитный центр «Мемориал» нашёл запись в открытом доступе. Почти десять часов откровенных докладов. Медиа её изучили. Мы — пересказываем для тебя то, что важно знать прямо сейчас.
Содержание
Главная новость: прорыва нет
Начнём с хорошего. Никакого волшебного устройства, которое за секунду вскрывает любой айфон, у российских силовиков нет. Миф о всесильном государстве, которое видит всё и всегда, — именно миф. Но это не значит, что можно расслабиться. Потому что методы, о которых шла речь на конференции, реальны и уже применяются.
Cellebrite им недоступна — но старый запас ещё есть
Главный инструмент для взлома смартфонов в мире — это израильская компания Cellebrite. Именно её оборудование ФБР использовало, чтобы за 40 минут вскрыть телефон человека, стрелявшего в Трампа. Руководитель отдела НИИ криминалистики СК РФ Ольга Тушканова на конференции прямо призналась: новые версии они купить не могут — Cellebrite ушла с российского рынка ещё в 2021-м.
Но расслабляться рано: старое оборудование у них осталось. И ФСБ уже использовала его против антивоенного активиста, автора телеграм-канала «Протестный МГУ». Так что это не полная победа — скорее, временное преимущество.
Твоё лицо — это ключ. И они могут его использовать
Вот это по-настоящему неприятно. В 2025 году СК разработал новую методику работы с телефонами задержанных. Одна из процедур звучит буднично, но работает как кошмар: криминалист может попросить привести тебя, чтобы поднести телефон к твоему лицу и разблокировать его через Face ID.
Никакого взлома. Просто твоё лицо используется как ключ — без твоего согласия.
Что делать: переходи на цифровой пароль вместо биометрии. Особенно если едешь на акцию, пересекаешь границу или просто чувствуешь, что ситуация может стать неуправляемой. Отказываться сообщать пароль — это твоё конституционное право, которое даже Верховный суд РФ признал законным.
Hashcat: один инструмент на всех
Для взлома зашифрованных архивов, документов и файлов российские эксперты поголовно используют одну и ту же программу — hashcat. Она с открытым кодом, бесплатная и очень эффективная: перебирает миллионы вариантов паролей в секунду, используя мощность видеокарт.
Слабый пароль она вскроет быстро. «Кот2004» — это не пароль, это некролог твоей приватности.
Что делать: длинные пароли для архивов (от 20 символов — это уже другой разговор), менеджер паролей для всего остального. И там, где возможно, — переходи на passkeys. О них на конференции не говорили вообще, потому что криминалисты пока не знают, что с ними делать.
macOS — не крепость, но почти
Один из докладчиков обещал «развеять миф о неприступности Apple». Спойлер: не особо получилось. Да, теоретически можно извлечь хеш пароля из системных файлов macOS и попробовать его подобрать через тот же hashcat. Но для этого нужен root-доступ. А если у тебя включено шифрование диска (FileVault) и современный Mac с чипом Apple Silicon — вся эта затея рассыпается. Докладчик сам это признал, когда его прижали вопросами.
Android 8 символов = 10 000 лет взлома
Это не кликбейт. Эксперт из компании ACELab честно рассказал: современные Android используют алгоритм scrypt, который требует столько оперативной памяти, что даже пароль из восьми символов при брутфорсе продержится около десяти тысяч лет. Ни одна видеокарта с этим не справится.
Поэтому главная задача силовиков — не сломать телефон технически, а заставить тебя открыть его самого. Отсюда — давление, допросы, принудительная биометрия.
Что они найдут в телефоне — попадёт к следователю
Если после разблокировки телефона криминалист обнаруживает сохранённые пароли от Gmail, iCloud или Google Drive — он не должен сам туда лезть. По новым правилам он обязан сообщить об этом следователю, который уже будет решать, что делать с этой находкой.
Это не защита твоих данных. Это просто перекладывание ответственности на другого человека в погонах.
Что делать: не храни пароли в заметках, текстовых файлах или в переписке. Менеджер паролей — это не паранойя, это базовая гигиена. Proton Pass, Bitwarden, 1Password — выбирай любой.
Беларусь — это тоже про тебя
На конференции подчёркивалось: белорусские и российские силовые структуры плотно сотрудничают, обмениваются методиками и инструментами. То, что сегодня используется в Москве, завтра появляется в Минске.
Коротко: что делать прямо сейчас
- Замени Face ID на цифровой код — особенно перед любой потенциально рискованной ситуацией
- Установи менеджер паролей — Proton Pass, Bitwarden, 1Password
- Не храни пароли в заметках и мессенджерах
- Включи шифрование — на iPhone оно включено по умолчанию, на Android проверь настройки
- Используй длинные пароли для архивов и важных файлов
- Переходи на passkeys там, где это возможно (Google, Apple ID)
- Помни: ты не обязан сообщать пароль. Это твоё право — даже по российской Конституции
Государство хочет твои данные. Но у него есть пределы. Знать эти пределы — значит уметь защищаться.
Береги себя и свой телефон.
Материал подготовлен на основе анализа записи конференции Moscow Forensics Day 2025, опубликованного изданием «Медуза».
