Слепые зоны: Минцифры перечислило случаи, когда выявить VPN почти невозможно
Минцифры признало, что выявление VPN на iPhone «существенно ограничено» из-за изоляции приложений в iOS, в отличие от Android, где такая проверка технически возможна. Ведомство потребовало от более чем 20 интернет-компаний до 15 апреля отключать пользователей с активным VPN под угрозой санкций, при этом обнаружение обхода блокировок также невозможно при VPN на роутерах, в виртуальных машинах, через прокси с IP провайдеров и в режиме split tunneling.
Минцифры направило крупнейшим российским интернет-компаниям (включая «Сбер», «Яндекс», VK, Wildberries, Ozon, Avito, X5 и другие — всего более 20 площадок) методические рекомендации по выявлению VPN-сервисов на устройствах пользователей, сообщает РБК со ссылкой на документ ведомства (копия которого есть у издания). Подлинность подтвердили три источника на IT-рынке.
Компаниям дано указание до 15 апреля отключать от своих онлайн-сервисов пользователей с активным VPN. За неисполнение грозят санкции: лишение IT-аккредитации (а следовательно — налоговых льгот), исключение из «белого списка» сервисов для работы без интернета и из перечня обязательных для предустановки приложений. Крупнейшие площадки вдобавок обязаны помогать Роскомнадзору выявлять неизвестные ранее VPN-сервисы.
В документе указывается, что выявление VPN на устройствах под управлением iOS «существенно ограничено», это связано с политикой конфиденциальности и безопасности Apple: все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях.
В отличие от iOS, для Android, как отмечается в методичке, процедура технически проще: системы ConnectivityManager и NetworkCapabilities позволяют любому приложению запросить параметры активной сети и определить, идёт ли интернет-трафик через VPN.
В рекомендациях также перечисляются ситуации, когда выявление VPN затруднено или невозможно вне зависимости от операционной системы. К ним, как сообщили в министерстве, относятся: настройка VPN на пользовательском роутере (отсутствие локальных артефактов на устройстве), развёртывание VPN внутри виртуальной машины или контейнера, использование прокси-серверов с IP обычных провайдеров, режим split tunneling (направление через VPN только выбранных приложений), а также искажение местоположения через CDN и глобальные сервисы без применения VPN.
Помимо этого, в материалах отмечается, что новые VPN-сервисы появляются быстрее, чем обновляются репутационные базы IP-адресов.
В документе также указано, что непрерывный мониторинг состояния VPN на устройстве пользователя не рекомендуется, так как это негативно влияет на расход трафика и потребление заряда батареи.
Ранее SecPost писал о том, что борьба с VPN в России негативно влияет на отрасль кибербезопасности: возникают сбои в работе западного ПО из-за потери связи с облаками, усиливается отток ИБ-специалистов за рубеж. Кроме того, пользователи в поисках обходных путей начинают использовать ненадёжные и вредоносные VPN-сервисы, что делает их более уязвимыми для кибератак.
Читайте также
