РБК: Минцифры разослало методичку по выявлению VPN, признав сложность с iOS

РБК: Минцифры разослало методичку по выявлению VPN, признав сложность с iOS

Минцифры разослало крупнейшим интернет-компаниям методичку по выявлению средств обхода блокировок и признало, что выявление VPN на IPhone «существенно ограничено», сообщает РБК со ссылкой на документ, подлинность которого подтвердили три источника из IT-сферы. Главная причина — система iOS не позволяет сторонним сервисам собирать информацию из других приложений.

Рекомендации разослали в продолжение совещаний Минцифры с крупными российскими интернет-компаниями, которым, по данным РБК, глава министерства Максут Шадаев поручил к 15 апреля ограничить доступ к сервисам, если у пользователя включен VPN. По информации издания, если приложения интернет-гигантов продолжат работать с включенным VPN, то их лишат IT-аккредитации, исключат из «белого списка». По задумке властей, компании также должны будут помогать находить те VPN-сервисы, которые Роскомнадзор ранее не идентифицировал и не ограничил.

Издание обратилось с запросом в Минцифры.

Согласно документу,

бизнес должен будет проверять наличие VPN в три этапа. В первую очередь это коснется устройств с операционными системами iOS и Android.
SAPE
Сравнивать IP-адрес устройства с российскими адресами и списком заблокированных РКН.
Проверять само устройство через собственное приложение (если оно установлено).
Анализировать другие ОС — Windows, macOS и пр.
Именно на втором этапе и возникает проблема с iPhone, поскольку «на iOS доступ к системным параметрам существенно ограничен», пишет РБК. iOS устроена так, что все сторонние приложения работают изолированно друг от друга и не могут собирать или изменять данные из других программ. В отличие от Android, где система ConnectivityManager позволяет любому приложению запросить параметры сети и понять, идет ли трафик через VPN.

Когда VPN выследить затруднительно или невозможно

Эти сведения также описаны в материалах министерства, сообщает РБК:
VPN на роутере — на самом устройстве пользователя нет никаких следов; выявить VPN невозможно.
VPN в виртуальных машинах — выявление затруднено, если средство обхода блокировок установлено внутри «виртуальной машины или контейнера».
Прокси-серверы — если они расположены у обычных интернет провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам.
Split tunneling (режим, при котором через VPN идет только часть трафика).
CDN (сети доставки контента — специальные верверы, которые расположены ближе к клиенту и ускоряют загрузку контента) и глобальные сервисы могут искажать местоположение устройства без использования VPN.
Постоянное появление новых VPN-сервисов — быстрее, чем обновляются базы властей.
Исключения для корпоративного VPN и «белые списки»

Для корпоративных VPN, которые бизнес использует для удаленной работы сотрудников, сделано исключение. Для них сформируют «белый список» легитимных VPN и прокси. Компаниям рекомендуют учитывать «исторические данные»: если устройство подключается к корпоративной сети в рабочее время и отключается после 18:00 — вероятно, это не попытка обойти блокировки.