‼️ РБК получил копию методички минцифры по выявлению VPN-сервисов. В целом всё плохо, но есть хорошие новости для пользователей iOS. Собрали главное:

▪️ Методичку рассылали в продолжение совещаний, которое минцифры проводило с крупнейшими российскими интернет-компаниями по размеру аудитории — всего более 20 площадок. На них глава министерства Максут Шадаев поручил компаниям к 15 апреля ограничить доступ к интернет-сервисам пользователям с включённым VPN;
▪️ В методичке отмечается, что поскольку больше половины пользовательских устройств — это мобильные устройства под управлением операционных систем Android и iOS, и 80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах, то внедрение механизмов для поиска VPN следует начинать именно с гаджетов на указанных операционных системах.

▪️ Компании должны будут проверять, включен ли VPN на устройствах пользователей, в три этапа:
▪️ определять IP-адрес устройства и сравнивать его теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов;
▪️ проверять использование средств обхода блокировок на устройстве с собственного приложения (если оно установлено на том же устройстве);
▪️ проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, MacOS и др.);

Например, если страна и регион пользователя по IP-адресу не совпадёт с российскими, или совпадёт с ранее заблокированными РКН, или, если будет выявлено, что у пользователь часто менялись страны, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки, пишет РБК.

▪️ При этом в материалах указано, что осуществить второй этап проверки на устройствах iOS от Apple сложно, поскольку «на iOS доступ к системным параметрам существенно ограничен». Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях. Для Android ситуация проще: там работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идет через VPN.

▪️ Помимо сложностей с iOS в материалах министерства описаны еще ряд ситуаций, когда выявление VPN затруднено или невозможно:

▪️ VPN на роутерах. Если средство обхода блокировок настроено на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты и выявить VPN невозможно;
▪️ VPN в виртуальных машинах. Если средство обхода блокировок развернуто внутри виртуальной машины или контейнера на устройстве пользователя, выявление также затруднено;
▪️ Прокси-серверы. Если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам;
▪️ Split tunneling. Режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую. В этом случае проверка по одной активной сети недостаточна;
▪️ CDN (сети доставки контента — специальные верверы, которые расположены ближе к клиенту и ускоряют загрузку контента) и глобальные сервисы могут искажать местоположение устройства без использования VPN;
▪️ Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.

▪️ В методичке также рекомендуется не проводить на устройстве пользователя непрерывный мониторинг состояния VPN: «Это будет негативно влиять на расход трафика и потребление заряда батареи».