Минцифры России признало: выявлять VPN на iPhone сложно 📱
Определение VPN на устройствах iPhone «существенно ограничено» — об этом говорится в методических рекомендациях ведомства по выявлению таких сервисов у пользователей. Документ разослали крупнейшим российским интернет-компаниям, его подлинность подтвердили источники на IT-рынке.
Методичка стала продолжением серии встреч Минцифры с крупными игроками рынка — среди них Сбер, Яндекс, VK, Wildberries, Ozon, Avito, а также X5 Group — всего более 20 платформ.
На этих совещаниях глава министерства Максут Шадаев поручил компаниям до 15 апреля ограничить доступ к своим сервисам для пользователей с включённым VPN. Если сервисы продолжат работать при активном VPN, компании рискуют потерять IT-аккредитацию, дающую налоговые льготы, а также вылететь из «белого списка» ресурсов и перечня обязательных предустановок на устройства.
По задумке регуляторов, крупнейшие площадки должны не только блокировать пользователей с VPN, но и помогать выявлять новые сервисы, которые ранее не были обнаружены и ограничены Роскомнадзор.
На данный момент запрос в Минцифры уже направлен, официального ответа пока нет.
Как предлагают выявлять VPN
В методичке Минцифры отмечается, что поскольку больше половины пользовательских устройств — это мобильные устройства под управлением операционных систем Android и iOS — и 80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах, то внедрение механизмов для поиска VPN следует начинать именно с гаджетов на указанных операционных системах. «Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — говорится в документе.
Компании должны будут проверять, включен ли VPN на устройствах пользователей, в три этапа.
Определять IP-адрес устройства и сравнивать его с теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов.
Проверять использование средств обхода блокировок на устройстве с собственного приложения (если оно установлено на том же устройстве).
Проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, MacOS и др.).
Например, если страна и регион пользователя по IP-адресу не совпадут с российскими, или совпадут с ранее заблокированными РКН, или если будет выявлено, что у пользователя часто менялись страны, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки.
Какие проблемы видит Минцифры
Помимо сложностей с iOS в материалах министерства описан еще ряд ситуаций, когда выявление VPN затруднено или невозможно:
VPN на роутерах. Если средство обхода блокировок настроено на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты и выявить VPN невозможно.
VPN в виртуальных машинах. Если средство обхода блокировок развернуто внутри виртуальной машины или контейнера на устройстве пользователя, выявление также затруднено.
Прокси-серверы. Если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам.
Split tunneling. Режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую. В этом случае проверка по одной активной сети недостаточна.
CDN (сети доставки контента — специальные серверы, которые расположены ближе к клиенту и ускоряют загрузку контента) и глобальные сервисы могут искажать местоположение устройства без использования VPN.
Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.
Ранее собеседники РБК указывали, что предложенная Минцифры методика выявления пользователей с включенным VPN может давать сбои, из-за которых сервисы будут блокировать тех, кто физически находится на рубежом, и тех, у кого включен корпоративный VPN. В документе для последних сделано исключение. Для корпоративных VPN, которые бизнес использует для безопасного доступа сотрудников к рабочим ресурсам из дома, будет сформирован белый список, в который должны попасть известные корпоративные VPN и легитимные прокси-серверы. Также предполагается, что компании будут учитывать исторические данные: если устройство использует корпоративный VPN в рабочее время и отключает его в нерабочее, такой сценарий может быть идентифицирован и исключен. В документе описан еще ряд технических способов верифицировать корпоративные VPN и отмечается, что в случае, когда компания не сможет принять однозначное решение, ей нужно будет провести повторную проверку через некоторое время или комбинировать результат с другими источниками данных (GPS устройства, информация о сотовой вышке, история предыдущих успешных аутентификаций).
В методичке также рекомендуется не проводить на устройстве пользователя непрерывный мониторинг состояния VPN: «Это будет негативно влиять на расход трафика и потребление заряда батареи».
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.