Минцифры разослало крупнейшим российским интернет-компаниям рекомендации по выявлению VPN на устройствах пользователей.
Как пишет РБК, в документе министерство само признало: обнаружение VPN на iPhone «существенно ограничено». Причина — политика конфиденциальности Apple, при которой все сторонние приложения изолированы и не могут получать данные из других приложений.
Как предлагается искать VPN
Методичка описывает трехэтапную проверку.
Сначала компании должны сравнить IP-адрес пользователя со списком российских адресов и базой заблокированных РКН — если страна не совпадает или IP часто менялся, это сигнал.
Затем следует проверить VPN через собственное приложение на том же устройстве.
При этом проверять устройства на Windows и macOS следует в последнюю очередь. Приоритет отдан Android и iOS — именно на их установлено 80% приложений, через которые можно вести мониторинг.
Почему Android проще, чем iPhone
На Android все относительно несложно: системные инструменты ConnectivityManager и NetworkCapabilities позволяют любому приложению запросить параметры активной сети и определить, идет ли трафик через VPN.
На iOS такой возможности нет — приложения работают в изолированных песочницах.
Где еще метод не работает
Помимо iPhone, методичка честно перечисляет еще несколько сценариев, когда выявление VPN невозможно или крайне затруднено:
- VPN на роутере;
- VPN внутри виртуальной машины;
- прокси с IP обычного провайдера;
- режим split tunneling;
- CDN-сервисы, искажающие геолокацию;
- новые VPN-сервисы, которые появляются быстрее, чем обновляются базы.
Корпоративный VPN — отдельная история
Для корпоративных VPN предусмотрен белый список: если сотрудник использует VPN в рабочее время и отключает его в нерабочее, система должна это учитывать.
Для окончательной верификации предлагается использовать GPS, данные сотовой вышки и историю предыдущих авторизаций.
Отдельно оговорено, что непрерывный мониторинг VPN на устройстве проводить не рекомендуется. Это «негативно влияет на расход трафика и потребление заряда батареи».
Дедлайн и санкции
Компании обязаны ограничить доступ пользователям с включенным VPN до 15 апреля.
Тех, кто не выполнит требование, могут лишить IT-аккредитации с соответствующими льготами для сотрудников, исключить из белых списков и убрать из реестра предустановленных приложений.
