Основы Интернет - технологий.

По информации РБК, представители Минцифры разослали крупнейшим российским интернет-компаниям «методичку» по выявлению VPN на пользовательских устройствах. Из документа следует, что на iOS обнаружение средства обхода блокировок «существенно ограничено» из-за политики конфиденциальности Apple. Сообщается, что копия методических рекомендаций оказалась в распоряжении издания, а подлинность этого документа подтвердили три источника на ИТ-рынке. Рассылку в Минцифры провели после серии совещаний, на которых присутствовали представители более 20 крупных российских компаний («Сбер», «Яндекс», VK, Wildberries, Ozon, «Авито», X5 и другие). На этих встречах глава ведомства Максут Шадаев поручил к 15 апреля ограничить доступ к сервисам для пользователей с включенным VPN. Согласно документу, проверка должна проходить в три этапа. Первый: сверка IP-адреса устройства со списком российских адресов и реестром заблокированных Роскомнадзором IP. Второй: проверка использования средств обхода блокировок через собственное приложение компании, установленное на том же устройстве. Третий: анализ устройств, отличных от Android и iOS (под управлением Windows, macOS и других десктопных ОС). То есть если страна и регион пользователя по IP-адресу не будут совпадать с российскими, или совпадут с ранее заблокированными РКН, или если будет выявлено, что у пользователя часто менялись страны, это будет признаком для блокировки. Однако отмечается, что такой признак потребует подтверждения через второй или третий этап проверки. При этом второй этап проверки плохо работает на устройствах под управлением iOS. В Минцифры прямо указывают, что доступ к системным параметрам на iPhone «существенно ограничен», так как все сторонние приложения изолированы и не могут читать информацию из других приложений. В Android ситуация проще — системные API (ConnectivityManager и NetworkCapabilities) позволяют любому приложению запросить параметры активной сети и определить, проходит ли трафик через VPN. Помимо iOS, в документе перечислен целый ряд сценариев, когда определить использование VPN может быть сложно или не получится в принципе: VPN настроен непосредственно на роутере (никаких следов на самом устройстве); VPN развернут на виртуальной машине или в контейнере; прокси-серверы с IP обычного домашнего провайдера; split tunneling или раздельное туннелирование (когда через VPN проходит трафик только отдельных приложений); а также CDN и глобальные сервисы, которые искажают геолокацию без всякого VPN. Отдельно отмечается, что новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP-адресов, и это тоже может представлять проблему. При этом для корпоративных VPN предусмотрено исключение: в Минцифры пишут, что будет сформирован «белый список» легитимных корпоративных решений. Кроме того, ожидается, что компании смогут анализировать поведенческие паттерны — например, если VPN включается только в рабочее время. В спорных случаях предлагается комбинировать проверки с GPS-данными, информацией о сотовых вышках и историей аутентификаций. Также в документе рекомендуется не вести непрерывный мониторинг VPN-активности на устройстве, так как это «будет негативно влиять на расход трафика и потребление заряда батареи».