В распоряжении РБК оказалась копия методических рекомендаций по выявлению VPN-сервисов, которые Минцифры направило крупнейшим российским интернет-компаниям. В них, например, указано, как следует выявлять использование VPN, а также упоминается, что на iOS выявление средств обхода блокировки «существенно ограничено».
Как предлагают выявлять использование VPN
Как указано в методичке, устройства пользователей нужно будет проверять в три этапа:
- определить IP-адрес устройства и сравнить его с теми IP-адресами, которые считаются российскими, а также с теми, что находятся в списке заблокированных Роскомнадзором;
- проверить использование средств обхода блокировок на устройстве через собственное приложение — при его наличии на том же устройстве;
- проверить использование VPN на устройствах на Windows, macOS и так далее — в первую очередь проверяются iOS и Android.
«Поскольку 80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на [iOS и Android], то внедрение механизмов для поиска VPN следует начинать именно с гаджетов на указанных ОС. „Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам“, — говорится в документе»— пишет РБК
Если страна и регион пользователя по IP-адресу не совпадут с российскими (или совпадут с ранее заблокированными РКН) или если выяснится, что у пользователя часто менялись страны, это будет признаком для блокировки. Однако один такой признак должен подтверждаться как-то ещё — через второй или третий этап проверки.
В теории ожидается, что система работать будет так: пользователь открыл приложение российской интернет-компании с включённым VPN, приложение не работает, а IP-адрес отправляется Минцифры — чтобы его проверили и, при наличии признаков использования VPN, заблокировали. Такое нововведение может привести к росту успешных блокировок VPN-сервисов.
Какие проблемы видит Минцифры
РБК также пишет, что помимо рекомендаций в материалах Минцифры описывается ряд ситуаций, когда выявить использования VPN сложно или невозможно.
В первую очередь, указано, что второй этап проверки сложно осуществить на iPhone, так как «на iOS доступ к системным параметрам существенно ограничен». В iOS политика конфиденциальности и безопасности предполагает, что все сторонние приложения работают изолированно друг от друга и не могут собирать или изменять информацию, хранящуюся в других приложениях.
На Android же работают системы ConnectivityManager и NetworkCapabilities, и они позволяют запросить параметры активной сети любому приложению, так что те могут выявить, идёт ли интернет-трафик с подменой IP-адреса.
Другие ситуации, когда выявить использование VPN сложнее:
- На роутерах: если средство обхода блокировок настроено на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты и выявить VPN невозможно.
- В виртуальных машинах: если средство обхода блокировок развёрнуто внутри виртуальной машины или контейнера на устройстве пользователя, выявление также затруднено.
- Прокси-серверы: если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам.
- Split tunneling: режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идёт напрямую. В этом случае проверка по одной активной сети недостаточна.
- CDN (сети доставки контента — специальные серверы, которые расположены ближе к клиенту и ускоряют загрузку контента) и глобальные сервисы могут искажать местоположение устройства без использования VPN.
- Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.
В материалах Минцифры также рекомендуется не проводить на устройстве пользователя непрерывный мониторинг состояния VPN, так как «это будет негативно влиять на расход трафика и потребление заряда батареи».
Методические рекомендации направили интернет-компаниям в продолжение с недавними совещаниями, на которых Максут Шадаев, глава министерства, поручил компаниям ограничить доступ к их сервисам, у которых включён VPN. Требования должны вступить в силу к 15 апреля.