Методичка по деанону: как российские приложения будут передавать данные о ваших VPN в Роскомнадзор

Минцифры направило крупнейшим российским интернет-компаниям методические рекомендации по выявлению VPN на устройствах пользователей. Копия документа есть у РБК, его подлинность подтвердили три источника на IT-рынке.

Рекомендации разосланы в продолжение совещаний, которые министерство проводило с более чем 20 крупными интернет-платформами, в том числе со «Сбером», «Яндексом», VK, Wildberries, Ozon, Avito и X5. На этих совещаниях глава Минцифры Максут Шадаев поручил компаниям к 15 апреля ограничить доступ к своим сервисам для пользователей с включенным VPN. Тем, кто не выполнит требование, грозит лишение IT-аккредитации, исключение из «белого списка» сервисов, доступных при отключении интернета, а также из перечня приложений, обязательных для предустановки на устройства российских пользователей. Кроме того, по замыслу властей наиболее популярные платформы должны будут помогать выявлять те VPN-сервисы, которые Роскомнадзор ещё не идентифицировал и не заблокировал.

В методичке указано, что поскольку больше половины пользовательских устройств работают на Android и iOS, а 80% приложений, пригодных для выявления средств обхода блокировок, установлено именно на мобильных платформах, внедрение механизмов проверки следует начинать с них. «Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», говорится в документе.

Проверку предлагается проводить в три этапа. Сначала компании должны определять IP-адрес устройства и сверять его с базами российских и заблокированных Роскомнадзором адресов. Затем проверять использование средств обхода блокировок через собственное приложение компании, если оно установлено на том же устройстве. Третий этап касается устройств под управлением Windows, MacOS и других не мобильных систем.

Признаком использования VPN будет считаться несовпадение страны или региона пользователя по IP с российскими, совпадение с заблокированными адресами или частая смена стран. Однако такой признак всегда потребует подтверждения через второй или третий этап.

При этом в документе отмечается, что провести второй этап проверки на устройствах Apple затруднительно: «на iOS доступ к системным параметрам существенно ограничен». Политика конфиденциальности и безопасности этой операционной системы изолирует сторонние приложения, запрещая им собирать данные из других приложений. На Android ситуация иная: системы ConnectivityManager и NetworkCapabilities позволяют любому приложению запросить параметры активной сети и определить, идёт ли трафик через VPN.

Помимо iOS в документе перечислен ряд других случаев, когда выявление VPN затруднено или невозможно. Если средство обхода настроено на роутере, на самом устройстве пользователя не остаётся никаких признаков и определить VPN нельзя. Аналогичная ситуация с VPN внутри виртуальных машин или контейнеров. Прокси-серверы с IP обычных провайдеров невозможно определить по базам адресов. Режим split tunneling, при котором через VPN проходит трафик только отдельных приложений, делает проверку по одной активной сети недостаточной. CDN и глобальные сервисы способны искажать геолокацию устройства без использования VPN. Наконец, новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP-адресов.

Ранее собеседники РБК указывали, что предложенная методика может давать ошибки и затрагивать пользователей, физически находящихся за рубежом, а также тех, кто использует корпоративный VPN. В документе для последних предусмотрено исключение: будет сформирован «белый список» корпоративных VPN и легитимных прокси-серверов. Компаниям также рекомендуется учитывать историю подключений: если устройство использует корпоративный VPN в рабочее время и отключает его после, такой сценарий может быть распознан и исключён из блокировки. В неоднозначных случаях компании смогут провести повторную проверку или привлечь дополнительные источники данных, в том числе GPS, информацию о сотовой вышке и историю предыдущих аутентификаций.

Документ также рекомендует не вести непрерывный мониторинг VPN на устройствах пользователей: «Это будет негативно влиять на расход трафика и потребление заряда батареи».

В конце марта Шадаев попросил четырёх крупнейших мобильных операторов ограничить пополнение Apple ID со счёта телефона, объяснив это борьбой с VPN-сервисами. МТС, «ВымпелКом», «МегаФон» и «Т2 Мобайл» отключили соответствующую опцию с 1 апреля. Среди других инициатив Минцифры в адрес операторов связи была идея ввести плату за использование более 15 ГБ международного трафика в месяц, однако она пока не реализована.