Минцифры разослало методику поиска VPN. На iPhone выявить его сложно
Минцифры разослало интернет-компаниям методику выявления VPN и указало на ограничения для iOS, передает РБК. На устройствах Apple невозможно полноценно проверить использование обходных сервисов. Это может повлиять на выполнение требований к интернет-сервисам.
Рекомендации были разосланы после совещаний с крупнейшими участниками рынка — среди них «Сбер», «Яндекс», VK, Wildberries, Ozon, Avito и X5, всего более 20 компаний. На этих встречах глава Минцифры Максут Шадаев поручил к 15 апреля ограничить доступ к интернет-сервисам для пользователей с включенным VPN. При этом компаниям, которые не выполнят требования, может грозить лишение IT-аккредитации, исключение из списка предустанавливаемых приложений и из перечня сервисов, доступных при ограничении интернета. Кроме того, от владельцев популярных платформ ожидается не только блокировка пользователей с VPN, но и помощь в выявлении новых сервисов обхода блокировок, которые еще не зафиксированы Роскомнадзором.
Как предлагают выявлять VPN
В методичке говорится, что начинать внедрение механизмов выявления VPN следует с мобильных устройств на Android и iOS, поскольку именно они составляют более половины пользовательских устройств, а около 80% приложений для подобных проверок установлены на смартфонах.
Проверка должна проходить в три этапа. Сначала определяется IP-адрес пользователя и сопоставляется с российскими адресами или с перечнем заблокированных. Затем, при наличии собственного приложения, компания может попытаться выявить VPN на самом устройстве. Третий этап предполагает проверку на устройствах с другими операционными системами — например, Windows или macOS.
Если IP-адрес не соответствует российскому региону, совпадает с заблокированным или часто меняется, это может стать основанием для блокировки, однако такой признак должен подтверждаться дополнительными проверками.
Отдельно подчеркивается, что второй этап проверки практически невозможно реализовать на iPhone. В iOS действует строгая политика конфиденциальности: приложения изолированы друг от друга и не могут получать доступ к системным параметрам или данным других программ. В Android ситуация иная — там доступны инструменты, позволяющие определить, проходит ли интернет-трафик через VPN.
Дополнительные меры и ограничения
В конце марта Максут Шадаев также обратился к крупнейшим мобильным операторам с предложением ограничить пополнение Apple ID с мобильных счетов. Ранее такая возможность сохранялась у ряда операторов, но с 1 апреля все они отключили эту функцию. Еще одной обсуждаемой мерой стало возможное введение платы за использование более 15 Гб международного трафика в месяц, однако это предложение пока не реализовано.
В документе Минцифры перечислены и другие случаи, когда выявление VPN затруднено или невозможно. Среди них — использование VPN на роутерах, когда на самом устройстве нет признаков обхода блокировок, применение виртуальных машин и контейнеров, а также прокси-серверы с IP-адресами обычных провайдеров. Проблемы возникают и при использовании режима split tunneling, когда через VPN проходит только часть трафика, а также при работе CDN-сетей, которые могут искажать геолокацию. Кроме того, новые VPN-сервисы появляются быстрее, чем обновляются базы данных IP-адресов.
Какие риски и исключения предусмотрены
Ранее эксперты отмечали, что предложенная методика может приводить к ошибкам — например, блокировать пользователей, находящихся за границей, или тех, кто использует корпоративные VPN. В документе предусмотрены исключения для таких случаев. Планируется создать белый список корпоративных VPN и легитимных прокси. Также компаниям предлагается учитывать поведение пользователя: если VPN используется только в рабочее время, это может свидетельствовать о его корпоративном характере. В спорных ситуациях рекомендуется проводить повторные проверки или использовать дополнительные данные — например, геолокацию устройства или информацию о подключении к сотовым вышкам.
При этом Минцифры не рекомендует проводить постоянный мониторинг VPN на устройствах пользователей, поскольку это может увеличить расход трафика и быстрее разряжать аккумулятор.
