Видели новости, что Минцифры призналось, будто ему трудно выявлять VPN на айфонах? На самом деле техника Apple едва ли защищена лучше, чем андроиды Мы поняли это, когда сами изучили методичку Минцифры по блокировке VPN

В конце марта глава Минцифры Максут Шадаев потребовал, чтобы «Сбер», «Яндекс», Ozon и еще два десятка российских компаний с самыми посещаемыми интернет-ресурсами начали самостоятельно выявлять и блокировать пользователей, обходящих цензуру с помощью VPN. Дедлайн этого ультиматума наступит уже через неделю — 15 апреля.

Если кто-то из интернет-гигантов не настроит свой «файерволл» к этой дате, то, по данным газеты «Коммерсант», компанию могут исключить из IT-реестра Минцифры, дающего право на различные льготы (например, бронь от мобилизации для сотрудников), а ее ресурсы — убрать из «белых списков».

Запрет будет работать просто: пользователю запретят доступ к сервисам, если владельцы этих сервисов заподозрят, что у него на мобильном устройстве установлен VPN. О том, как выявить этот факт, Минцифры рассказало интернет-гигантам в специальных методических рекомендациях, о которых первым рассказало РБК.

В публикации издания многие медиа и блогеры (включая нас!) обратили внимание прежде всего на признание Минцифры в том, что ведомству тяжелее обнаруживать VPN на айфонах, чем на андроидах. Но это несколько искаженная интерпретация того, что на самом деле написано в методичке, поняли мы, когда сами прочитали полный текст документа.

Российские власти продолжают блокировать все, что только можно заблокировать. Дорогие все, кто читает нас не из России, обещаем — «Медуза» останется рядом с вашими родными и близкими! Мы сами обходим блокировки каждый день и помогаем это делать нашим читателям. И мы не остановимся. В ближайшее время «Медуза» будет рассказывать, как безопасно сохранить доступ к информации. А вы, пожалуйста, помогите нам выжить. Подпишитесь на донат «Медузе», вместе мы выстоим! 

Начнем со второго вопроса: тут все просто — текст методички опубликовал телеграм-канал «Профсоюз работников IT».

Написано же там вовсе не то, что айфоны безопаснее андроидов. Точнее сказать, сама постановка такого вопроса — неправильная интерпретация методических рекомендаций Минцифры.

В том самом материале РБК просто не говорится о том, как ведомство предлагает определять использование VPN на айфонах. Но подробные инструкции на этот счет в методичке есть. И они идентичны решению, которое предлагают многочисленные разработчики iOS:

«Наличие [таких] интерфейсов… может указывать на работающий VPN», — констатирует Минцифры.

Из тех же материалов Минцифры. Ведомство в методичке делит все признаки «использования средств обхода блокировок» на телефонах пользователей на прямые и косвенные.

При этом ни прямой, ни косвенный признаки не гарантируют, что на телефоне запущен именно VPN для обхода блокировок. Например, на андроидах значок ключика в панели состояния появляется при запуске всех приложений, которые занимаются фильтрацией вашего трафика: это и блокировщики рекламы, и антивирусы, и системы родительского контроля, и программы для захвата и последующего анализа трафика. Во всех этих случаях операционная система будет отчитываться об использовании VPN.

Приведенная же РБК цитата Минцифры о том, что «на iOS доступ к системным параметрам существенно ограничен», относится исключительно к этапу выявления VPN через системные API. Фраза, по сути, вырвана из контекста: сразу вслед за констатацией факта этого ограничения Минцифры дает конкретные совету по его обходу — те самые, что мы цитировали выше, про сетевые интерфейсы.

Ну и главное: сам по себе этот этап является лишь одним из элементов схемы выявления VPN на смартфоне пользователя — и не самым важным.

Проверка пользовательского IP-адреса на стороне сервера. Она сама по себе тоже делится на разные элементы:

Уже только после всех этих проверок в дело идут описанные выше прямой и косвенный признаки определения VPN. Оба они играют роль вспомогательных компонентов — для снижения количества ложных срабатываний.

В итоге устроено все так. У каждого из трех компонентов разный «вес»: 1 у исследования IP-адреса и по 0,5 у прямого и косвенного признаков. Если по итогам исследования конкретного пользователя в сумме получается:

В рекомендациях Минцифры упоминаются два ее варианта: «анализ HTTP-заголовков» и «метод анализа задержек».

Пользователь технического форума ntc.party создал свой рабочий прототип «метода анализа задержек» — и пришел к неутешительному выводу о потенциальной эффективности такой проверки. Суть ее в том, что при посещении веб-страницы сервер сравнивает реальное время отклика с идеальным (для чего делает встречный запрос на IP-адрес пользователя). Если разница выше порога допустимой погрешности, то система решает, что посетитель использует VPN. Вот что написал автор эксперимента:

Мы не знаем. Пока все эти эксперименты — лишь теория. Насколько широко на практике российские интернет-гиганты раскатают запретительные фильтры, насколько усердно Минцифры будет карать их за игнорирование владельцев VPN и не приведет ли все это к тому, что какие-то из сервисов станут попросту недоступны из-за рубежа, станет понятно после 15 апреля.

Читайте то, что хотите вы, а не власти. Для этого скачайте приложение «Медузы» — мы пишем о самых важных событиях в России и мире. Наше приложение обходит блокировки и работает без VPN — это бесплатно и безопасно. Кроме новостей у нас есть подкасты, книги и даже игры. А еще не забывайте про волшебную ссылку — https://bit.ly/meduzamirror — по ней «Медуза» откроется где угодно и у кого угодно, сохраните ее на всякий случай и отправьте друзьям. Будем на связи! 

Нет. У интернет-цензоров и без доступа к закрытой инфраструктуре Apple достаточно «маячков», чтобы заподозрить вас в использовании VPN. Так что менять «робота» на «яблоко» из-за этого фактора точно не стоит.