Российское Министерство цифрового развития разослало крупнейшим интернет-компаниям методичку по выявлению VPN. Для пользователей iPhone она практически неприменима из-за архитектуры iOS.Министерство цифрового развития России разработало методику выявления VPN на устройствах пользователей и разослало ее более чем 20 крупным российским платформам — среди них «Сбер», «Яндекс», VK, Wildberries, Ozon, Avito и X5. Однако само ведомство признает: применить методику к владельцам iPhone практически невозможно из-за архитектуры iOS, сообщило в понедельник, 6 апреля, агентство РБК со ссылкой на копию документа.
Ранее глава ведомства Максут Шадаев поручил этим компаниям до 15 апреля ограничить доступ к своим сервисам для пользователей с активным VPN. Тем, кто не выполнит требование, грозит лишение IT-аккредитации, дающей право на налоговые льготы, а также исключение из списков сервисов, обязательных для предустановки на гаджеты.
В конце марта Шадаев также попросил мобильных операторов перекрыть пополнение Apple ID со счета телефона — все четыре крупнейших оператора отключили эту опцию с 1 апреля. Параллельно обсуждается введение платы за использование более 15 Гб международного трафика в месяц, но это предложение пока не реализовано.
Три этапа проверки
Разосланная российским платформам методичка предусматривает поэтапный контроль. Сначала сервис сверяет IP-адрес пользователя с российскими и заблокированными Роскомнадзором адресами.
Затем через собственное приложение проверяются признаки использования VPN непосредственно на устройстве. Третий этап касается устройств на Windows, macOS и других платформах — его министерство относит к более поздним стадиям внедрения.
Почему iPhone — особый случай
Именно на втором этапе и возникает непреодолимое препятствие для iPhone. Политика Apple предусматривает полную изоляцию приложений друг от друга: сторонние сервисы не могут получать данные о других программах или сетевых параметрах системы.
На Android ситуация принципиально иная — там системные механизмы ConnectivityManager и NetworkCapabilities позволяют любому приложению определить, идет ли трафик через VPN.
Другие слабые места методики
Помимо проблемы с iOS, документ признает еще несколько сценариев, в которых выявить VPN не получится. Если средство обхода настроено на роутере или развернуто внутри виртуальной машины, на самом устройстве пользователя не остается никаких следов.
Прокси-серверы с обычным домашним IP-адресом невозможно идентифицировать по базам. При режиме раздельного туннелирования через VPN идет трафик лишь отдельных приложений, а остальной — напрямую, что делает проверку по одной активной сети недостаточной.
Наконец, CDN-сервисы могут искажать геолокацию пользователя без всякого VPN, а новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP-адресов.
Исключения и ограничения
Для корпоративных VPN предусмотрен белый список — компании должны будут учитывать поведенческие паттерны: например, если сотрудник использует VPN в рабочее время и отключает его в нерабочее.
В спорных случаях рекомендуется повторная проверка через некоторое время или сверка с дополнительными источниками — GPS, данными о сотовой вышке, историей аутентификаций. Непрерывный мониторинг состояния VPN документ прямо не рекомендует — это негативно сказывается на расходе трафика и заряде батареи.