Tech Talk
@ru_tech_talk
❗️Методичка Минцифры по определению VPN-пользователей для IT-бизнеса
По инструкции проверка занимает три этапа:
1. Определить IP устройства и сравнить с теми, которые считаются российскими, а также заблокированными РКН.
2. Проверить использование средств обхода блокировок на устройстве с собственного приложения, если оно установлено на том же устройстве.
3. Проверить использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS.
При несовпадении региона пользователя по IP с российскими или ранее заблокированными, или если пользователь часто меняет айпишники, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки.
Есть сложности с Apple. На iOS приложения работают в своего рода «строгой песочнице»: они изолированы от системы и не могут видеть процессы друг друга. Поэтому софт не имеет доступа к сетевым интерфейсам и не может узнать, как именно устройство подключено к сети. На Android же есть открытые инструменты, которые позволяют любому приложению запросить статус активного соединения и увидеть прямую метку VPN.
Описан еще ряд ситуаций, когда выявление VPN затруднено или невозможно:
▪️VPN на роутерах. Если всё настроено на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты и выявить VPN невозможно.
▪️VPN в виртуальных машинах.
▪️Прокси-серверы. Если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам.
▪️Split tunneling. Режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую. В этом случае проверка по одной активной сети недостаточна.
▪️CDN и глобальные сервисы могут искажать местоположение устройства без использования VPN.
▪️Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.
По мнению ряда экспертов, Минцифры пытается делегировать цензуру от государства к частным компаниям под угрозой потери льгот. Уже потратив огромные деньги на системы блокировок, власти хотят заставить бизнес внедрять за свой счёт системы слежки и нести правовые риски, мириться с ложными срабатываниями и оттоком клиентов, а также активно «сдавать» РКН новые, ещё не выявленные VPN-сервисы.
То есть компаниям предложено не просто соблюдать некие правила, а стать активным участником внедрения цензуры, где кнутом выступает лишение льгот, а пряника не предусмотрено вовсе.
По инструкции проверка занимает три этапа:
1. Определить IP устройства и сравнить с теми, которые считаются российскими, а также заблокированными РКН.
2. Проверить использование средств обхода блокировок на устройстве с собственного приложения, если оно установлено на том же устройстве.
3. Проверить использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS.
При несовпадении региона пользователя по IP с российскими или ранее заблокированными, или если пользователь часто меняет айпишники, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки.
Есть сложности с Apple. На iOS приложения работают в своего рода «строгой песочнице»: они изолированы от системы и не могут видеть процессы друг друга. Поэтому софт не имеет доступа к сетевым интерфейсам и не может узнать, как именно устройство подключено к сети. На Android же есть открытые инструменты, которые позволяют любому приложению запросить статус активного соединения и увидеть прямую метку VPN.
Описан еще ряд ситуаций, когда выявление VPN затруднено или невозможно:
▪️VPN на роутерах. Если всё настроено на пользовательском маршрутизаторе, на самом устройстве отсутствуют локальные артефакты и выявить VPN невозможно.
▪️VPN в виртуальных машинах.
▪️Прокси-серверы. Если они расположены у обычных интернет-провайдеров и имеют IP домашнего провайдера, то их невозможно определить по базам.
▪️Split tunneling. Режим, при котором через VPN направляется трафик только выбранных приложений, а остальной идет напрямую. В этом случае проверка по одной активной сети недостаточна.
▪️CDN и глобальные сервисы могут искажать местоположение устройства без использования VPN.
▪️Новые VPN-сервисы. Они появляются быстрее, чем обновляются репутационные базы IP-адресов.
По мнению ряда экспертов, Минцифры пытается делегировать цензуру от государства к частным компаниям под угрозой потери льгот. Уже потратив огромные деньги на системы блокировок, власти хотят заставить бизнес внедрять за свой счёт системы слежки и нести правовые риски, мириться с ложными срабатываниями и оттоком клиентов, а также активно «сдавать» РКН новые, ещё не выявленные VPN-сервисы.
То есть компаниям предложено не просто соблюдать некие правила, а стать активным участником внедрения цензуры, где кнутом выступает лишение льгот, а пряника не предусмотрено вовсе.
🔥 386
🤡 376
💩 139
501 1.4K 46K