Крупные компании в РФ обязали следить за пользователями VPN-сервисов и ограничивать доступ тем, кто обходит ограничения. Как его сохранить — в нашем тексте. Власти РФ переходят к новому формату давления на VPN. C 15 апреля российские компании, такие как OZON, «Яндекс» и «Авито», должны выявлять клиентов, использующих VPN-сервисы, и ограничивать для них доступ, если верить источникам РБК. Минцифры разослало рекомендации, в которых описано, как определять, прибегает ли пользователь к методам обхода блокировок. Компании обязывают не только ограничивать доступ, но и передавать данные о новых VPN-сервисах. Если бизнес не прислушается, ему грозит лишение IT-аккредитации либо места в «белых списках».
Таким образом, компаниям частично делегируют поиск и блокировку VPN-сервисов. При этом пользоваться VPN формально еще не запрещено, но становится все труднее.
Как выявляют VPN-сервисы
Если раньше государство блокировало VPN-сервисы и их инфраструктуру напрямую, то с 15 апреля в систему контроля встраивают банки, магазины и другие сервисы.
На момент публикации известно о более чем 20 компаниях, получивших рекомендации от министерства: Интеграторы — «Сбер», «Яндекс», VK и «Рамблер»; Онлайн-магазины OZON, Wildberries & Russ, Lamoda и «Литрес»; Конгломерат «Газпром-Медиа»; Погодный сервис «Гисметео»; Доски объявлений «Авито», ЦИАН и HeadHunter; Сервис для покупки билетов «Туту»; Сети супермаркетов X5, «Магнит Маркет», «Вкусвилл», «Лента», «ВсеИнструменты.ру» и «Лемана Про»; Сервис карт «2ГИС»; Магазин приложений RuStore; Онлайн-кинотеатры ivi и Wink. Независимые исследователи добавляют к этому списку «Т-Банк», «ВТБ Онлайн», «Альфа-Банк» и другие сервисы. Логично предположить, что все сервисы, входящие в «белые списки» будут отправлять данные в РКН. Мы уже наблюдаем затруднения с подключением через VPN к некоторым из указанных сервисов. Предполагается, что компании собирают цифровой отпечаток пользователя по набору косвенных признаков. Затем они определяют, использует ли он ПО для обхода блокировок. В методичке Минцифры схему проверки делят на три этапа: IP-адреса пользователя анализируют и сравнивают с российскими диапазонами и списком заблокированных Роскомнадзором. Приложение — банка, онлайн-магазина, «Госуслуг» и т. п. — самостоятельно проверяет, есть ли на устройстве клиентов VPN-сервисы. Пользователи десктоп-систем — Windows, macOS и Linux — проходят отдельную проверку. Как она будет устроена, в Минцифры не сообщают. Сервисы активно следят за источником пользовательских запросов. Если вы годами заходили под российским IP-адресом, а затем попадете в систему с зарубежного сервера, то администрация сервиса вас заподозрит. Для проверки достаточно даже просто периодически менять адреса — на вас обратят внимание. Мы не знаем, зачем государство делегирует сервисам слежку за пользователями VPN, когда в его распоряжении и так достаточно рычагов для давления на них. По нашим данным, обнаружить VPN-клиент на устройстве, особенно под управлением Android, — тривиальная задача. С другой стороны, цензоры могут собирать базу IP-адресов, чтобы заблокировать уже их.
Как это выглядит на практике
Представьте: вы включили VPN, чтобы показать ребенку мультфильм на YouTube во время обеда, а после попытались зайти в приложение банка. Оно не открывается, ведь вы используете VPN. Авторы банковского приложения увидели, что вы использовали VPN-клиент, и ограничили доступ.
Какие операционные системы выдержат блокировки
По нашим данным, выявление VPN-сервисов со стороны компаний может отличаться для пользователей различных операционных систем. Windows, macOS и Linux Безопаснее всего пользоваться сервисами на десктопах. При корректно настроенном раздельном туннелировании, сайты, как правило, не замечают VPN-соединение.
iOS
Эта ОС создает для цензоров ряд сложностей. Например, модель «песочницы», которая ограничивает доступ приложений к системным параметрам и данным других программ. Таким образом, приложения не могут «подглядывать» друг за другом. Впрочем, этот механизм не делает пользователя невидимым. Приложения подконтрольных государству компаний все еще будут видеть сам факт подключения через VPN, так как iOS сообщает о запуске VPN любым приложениям, которые запросят эту информацию. В этом случае не поможет даже настройка раздельного туннелирования.
Android
У приложений в этой ОС больше всего возможностей как для слежки, так и для защиты от нее. Начнем с механизма контроля на примере нашего сервиса: Приложение-шпион видит в системе приложение Amnezia VPN. Видит подключение к VPN на основе интерфейса tun0 — как авиакомпания видит ваш конечный пункт назначения, если летите с пересадками. Перехватывает IP-адрес VPN-сервера и отправляет цензорам. Чтобы защититься, вы можете изолировать приложения вроде OZON в дополнительное пространство. Однако, в таком случае подконтрольный правительству сервис все равно выявит подключение к VPN-интерфейсу. Как и в случае с iOS, система сообщает любым приложениям о включенном VPN.
Минимизируем риски: как обойти ограничения
Ни один из нижеописанных методов не гарантирует, что сервисы пропустят пользователей VPN — мы изучаем практику блокировок и сообщим, если появятся безотказные способы. На этом фоне общепринятые меры предосторожности вроде «Выключить VPN перед тем как открыть банковское приложение» или «Запретить российским приложениям доступ к геолокации» актуальны всегда.
Сайт вместо приложения
Проще всего использовать сайты вместо приложений, так как у них меньше возможностей для слежки. Им сложнее собирать клиентские данные и задействовать антифрод-системы, которые используют для анализа пользовательского поведения. Использование веб-версий вместо приложений особенно эффективно в сочетании с раздельным туннелированием. Этот подход может вызывать неудобства, но в этом случае безопасность и приватность важнее. Также в рамках некоторых сервисов сайты дублируют приложения, особенно на iOS. Кстати, на устройствах под управлением этой ОС вы можете превращать сайты в мини-приложения — не придется жертвовать удобством ради безопасности.
Раздельное туннелирование
По нашим данным, один из эффективных методов на момент публикации — раздельное туннелирование, или split tunneling. Эта функция позволяет направить исходящий трафик так, чтобы часть его шла через VPN, а другая — напрямую, через провайдера. Грубо говоря, вы заходите в приложение «Сбера» — Amnezia VPN выключается. Запускаете Telegram — доступ возвращается. И все без вашего участия. В Amnezia Free раздельное туннелирование включено по умолчанию. Пользователи Self-hosted могут настроить его под свои нужды. О том, как сделать это корректно в рамках различных операционных систем, читайте в нашем материале о split tunneling. Пользователям Android мы рекомендуем настроить раздельное туннелирование по приложениям. В этом случае у программ-шпионов будет меньше шансов выявить VPN-подключение. Впрочем, раздельное туннелирование не гарантирует полной защиты. Оно не до конца скрывает тот факт, что часть трафика идет через VPN, так как приложения-шпионы выявляют методы обхода блокировок по многим параметрам. Таким образом, раздельное туннелирование повышает шансы скрыться от систем мониторинга, но не исключает блокировку на стороне сервиса. Это особенно актуально для пользователей свежих версий Android.
Дополнительные пространства (изолированное окружение)
В теории, дополнительные пространства, через которые пользователь может изолировать приложения друг от друга, помогают скрыть использование VPN. Однако на практике они не дают гарантий. Дело в том, что VPN работает на уровне системы в целом, а не пользовательского профиля. Приложения и сайты могут выявить такие сервисы — например, через механизмы вроде WebRTC или анализ сетевых интерфейсов и адресов. Мы считаем, что этот метод не решает поставленную задачу. Он может ограничить доступ к данным, но не скрывает сам факт использования VPN.
Настройка на уровне роутера
Вы можете настроить VPN-подключение и параметры маршрутизации для обхода блокировок непосредственно на роутере. Подробнее об этом — в нашей технической документации.
Второй телефон
Радикальный подход — физически разделить сервисы: на одном устройстве держать приложения от российских компаний и не использовать VPN, а на другом — все остальные, включая VPN-сервис.
Как будет работать интернет после 15 апреля
Онлайн-цензура в России переходит на уровень конкретных сервисов. В отличие от Ирана, где правительство блокирует весь Интернет на 1000 часов, правительство РФ перекладывает ответственность за блокировки и их воплощение на частный сектор. Мы считаем, что эта инициатива принесет больше вреда, чем пользы: Бизнес вынужден еще активнее уклоняться от штрафов и блокировок вместо того, чтобы строить конкурентоспособные продукты. Коммуникация между гражданами, сервисами и регионами становится все более разрозненной. Для основной массы пользователей задача «как получить доступ к заблокированному ресурсу» расширяется до «как получить доступ к заблокированному ресурсу и при этом избежать слежки». На этом фоне мы работаем над тем, чтобы в приложении Amnezia VPN заработало автоматическое решение. Эта функция уже доступна для пользователей Amnezia Free и скоро появится в версии Premium. Для пользователей Self-hosted мы подготовили обзорный материал о том, как устроено раздельное туннелирование.
