Методичка от Минцифры или как предлагают выявлять VPN

ДИСКЛЕЙМЕР: автор статьи осуждает использование VPN для доступа к веб-сайтам, доступ к которым ограничен органами исполнительной власти РФ с целью возвращения граждан к исконно традиционным ценностям, незыблемый фундамент которых был опрометчиво поставлен под сомнение указом от 19 февраля 1861 года.




На РБК вышла большая статья с выдержками из методички Минцифры по выявлению VPN на телефонах граждан: Минцифры признало сложность выявления VPN на iPhone

ГЛАВНОЕ В СТАТЬЕ РБК

По сведениям РБК, в методичке Минцифры отмечается, что поскольку больше половины пользовательских устройств — это мобильные устройства под управлением операционных систем Android и iOS, и 80% приложений, с помощью которых можно проводить выявление средств обхода, установлено именно на этих устройствах, то внедрение механизмов для поиска VPN следует начинать именно с гаджетов на указанных операционных системах. «Внедрение проверок на устройства под управлением других ОС следует отнести к последующим более поздним этапам», — говорится в документе.

Компании должны будут проверять, включен ли VPN на устройствах пользователей, в три этапа:

1. определять IP-адрес устройства и сравнивать его теми IP-адресами, которые считаются российскими, а также со списком заблокированных Роскомнадзором IP-адресов;
2. проверять использование средств обхода блокировок на устройстве с собственного приложения (если оно установлено на том же устройстве);
3. проверять использование VPN на устройствах под управлением операционных систем, отличных от Android и iOS (Windows, MacOS и др.).

Например, если страна и регион пользователя по IP-адресу не совпадет с российскими, или совпадет с ранее заблокированными РКН, или, если будет выявлено, что у пользователь часто менялись страны, это будет признаком для блокировки. Но такой признак всегда будет требовать подтверждения через второй или третий этап проверки.

При этом в материалах указано, что осуществить второй этап проверки на устройствах iOS от Apple сложно, поскольку «на iOS доступ к системным параметрам существенно ограничен». Причина в том, что у этой операционной системы политика конфиденциальности и безопасности предполагает, что все сторонние приложения изолированы и не могут собирать или изменять информацию, хранящуюся в других приложениях. Для Android ситуация проще: там работают системы ConnectivityManager и NetworkCapabilities, которые позволяют любому приложению запросить параметры активной сети и сообщить, что текущий интернет-трафик идет через VPN.

 

ДЕЙСТВИТЕЛЬНО ЛИ IOS БЕЗОПАСНЕЕ ANDROID?

На самом деле нет. Большинство VPN-приложений на iPhone нацелены на весь трафик, но система не сообщает, через какой сетевой интерфейс проходит трафик, однако во многих VPN-приложениях для Android есть Split Tunneling (когда можно указать, для каких приложений или адресов использовать VPN), это означает, что вы можете указывать конкретные приложения, трафик которых будет идти через сетевой интерфейс VPN, остальной трафик будет идти напрямую, т.о. «Пятёрочка» и «Магнит» с «Яндексом» при обращении к ConnectivityManager API будут получать трафик напрямую. С 2022 года в Android приложения находятся в изолированных «песочницах» и не могут видеть, что в системе установлено приложение для VPN, если только это не специализированное ПО, вроде антивируса, которое получило соотв. разрешение от Google Play.

НО ЧТО, ЕСЛИ ВЫ ДОБРОПОРЯДОЧНЫЙ ГРАЖДАНИН?

Но что, если вы добропорядочный гражданин и VPN вам нужен для работы или, например, для доступа на разрешённые сайты, которые, в свою очередь, ограничили доступ пользователям из России (сайты для обновления драйверов видеокарт NVIDIA и подобные)?

Вывод 1. Надо использовать Split Tunneling: трафик приложений для работы направлять через VPN, государственные приложения, включая «Пятёрочку», «Озон», «Wildberries» и др. напрямую.

Вывод 2. Зайдите в настройки и отзовите у приложений крупнейших интернет-компаний максимум разрешений, например, разрешения на доступ к местоположению, доступ к микрофону и камере сделайте ограниченным «спрашивать каждый раз». Эти приложения ненадёжны, теперь государство вам говорит прямо: за вами следят. Сегодня эта система обкатывается для «ограничения доступа» и слива информации в Роскомнадзор, завтра вам будут приходить штрафы прямо на Госуслуги за каждое подозрение в использовании VPN.

Вывод 3. Не устанавливайте государственные приложения из альтернативных магазинов приложений, например, RuStore, используйте только PlayMarket. PlayMarket запрещает приложениям получать избыточные разрешения (например, доступ к списку установленных в системе приложений), если только такая функция не является обоснованно необходимой (например, когда речь идёт об антивирусе). В случае нарушения этого правила, приложение удаляется из PlayMarket. Однако альтернативный магазин приложений, такой, как RuStore, может вам предоставить альтернативное приложение, которое будет выглядеть так же, как оригинал, но получит дополнительные возможности для слежки. Сам RuStore и приложения из него установите в отдельную защищённую папку Knox на Samsung, это виртуальный изолированный контейнер в телефоне, который не имеет доступа к большинству функций основного телефона.

Вывод 4. Просто реже открывайте и используйте государственные приложения, не листайте «Озон» от скуки, не совершайте спонтанные покупки, переходите на FIRE 🔥 Приложения «Пятёрочка», «Магнит» и «Лента» по возможности замените на скидочные пластиковые карты, либо установите в защищённую папку Knox, это не затруднит ваш доступ к приложениям, но затруднит доступ таких приложений к данным вашего телефона.