О VPN в России: законно ли им пользоваться, могут ли заблокировать все сервисы и какова «цена» бесплатных приложений

Разбор TJ, который актуальнее с каждой новой блокировкой в рунете.

С конца февраля в России резко выросла популярность VPN-сервисов, которые в основном используют для обхода блокировок. Пользователи из РФ уже не могут просто зайти на сайты многих независимых СМИ, твиттер, фейсбук и инстаграм тоже попали под блокировки. И топ-15 приложений в App Store 13 — различные VPN-сервисы. А аналитический сервис Top10VPN сообщает, что в марте спрос на VPN в России вырос на 2088% по отношению к среднесуточным февральским показателям.

При этом власти пытаются регулировать работу VPN-сервисов ещё с 2017 года: блокировка приложений происходит волнами, но большинство из них по-прежнему работает. Недавно ответственность за их использование стала грозить и рядовым пользователям — но пока нет известных случаев, чтобы кого-то за это реально привлекали. Опасность в использовании VPN исходит не только от требований властей: специалисты предупреждают, что некоторые условно-бесплатные сервисы либо подвержены утечкам, либо сами передают данные третьим лицам.

TJ попытался разобраться, чем же может быть чревато использование VPN.

14 марта Роскомнадзор ограничил доступ к инстаграму на территории России. После этого глава комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн (именно он обратился к Генпрокуратуре по поводу Meta) заявил, что Роскомнадзор продолжит работу по блокировке VPN-сервисов на территории страны. По его словам, Роскомнадзор заблокировал уже около 20 популярных сервисов.

Впрочем, эксперты считают, что заблокировать вообще все VPN-сервисы сейчас просто невозможно, реально только затруднить их работу для большинства пользователей. То есть они просто будут передавать данные медленнее: это примерно как пытаться смотреть видео YouTube через 3G.

Блокировать VPN-сервисы можно двумя способами — за счёт введения «белого списка» разрешенных ресурсов, а также попыток блокировок всех соединения с нероссийскими IP-адресами. Подобные ограничения пока есть только в Северной Корее, и вряд ли будут применены в России.

Сейчас блокировкой сайтов занимаются операторы связи. Получив от какого-либо ведомства (Генпрокуратура, Роскомнадзор, МВД, Роспотребнадзор или суд) решение о запрете доступа к тем или иным веб-страницам, Роскомнадзор вносит их в реестр, после чего проводит выгрузку — рассылает провайдерам XML-файл с новыми записями. Провайдеры должны оперативно перекрыть доступ к указанным адресам. Программно-аппаратный комплекс «Ревизор», установленный у каждого оператора, проверяет доступность сайта в его сети и отсылает отчёт в Роскомнадзор. За неисполнение решений провайдеров штрафуют.

Роскомнадзор может указывать URL-адрес конкретной веб-страницы с запрещённой информацией, чтобы не блокировать весь сайт. Но сейчас большинство сайтов используют зашифрованный протокол HTTPS для передачи данных, из-за чего провайдеры порой не могут определить, к какой именно странице обращается пользователь, и блокируют сайт целиком.

Намного более грубый метод — блокировка сайтов по IP-адресу. Однако проблема в том, что сразу несколько сайтов могут использовать один IP-адрес— в этом случае вместе с запрещёнными ресурсами «под удар» попадают десятки или даже тысячи других порталов. Так было, например, во время борьбы с Телеграмом, когда ведомство внесло в реестр более 18 миллионов IP-адресов, перекрыв доступ к десяткам популярных сайтов и затруднив работу многих сервисов, включая государственные. При этом сам телеграм продолжал работать в России, а летом 2020 года его перестали блокировать.

В 2021 году, была внедрена система технических средств противодействия угрозам (ТСПУ) — специфическое программное обеспечение, подконтрольное РКН и внедряемое в сети операторов. ТСПУ, среди прочего, должен заниматься глубокой фильтрацией и анализом трафика (Deep Packet Inspection, DPI) с последующей глобальной или избирательной его блокировкой. DPI определяет тип трафика по сигнатуре, которая различается у всех ресурсов. То есть DPI может отличить, например, сигнатуру пакета трафика мессенджера Telegram от сигнатуры YouTube, но доступа к содержимому пакета DPI не получает.

DPI отнюдь не всесилен — например, его может обходить популярный VPN-сервис Psiphon, у которого сложная архитектура и «хитрый механизм», благодаря чему трафик сервиса не поймать через системы фильтрации DPI. Именно поэтому сервис не раз рекомендовали как наиболее эффективный VPN с точки зрения того, как он ускользает от блокировок.

Тем не менее, на днях пользователи сервиса стали жаловаться на проблемы в его работе. Впрочем, о серьёзных трудностях не сообщается, а с теми, что есть сейчас, пользователи уже сталкивались раньше — Psiphon блокируется давно, с 2017 года, по решению одного из районных судов Мордовии.

В 2021 году также был введён запрет на использование отдельных VPN-сервисов, в том числе VyprVPN, ExpressVPN, NordVPN и OperaVPN. Но это были именно точечные блокировки — чтобы перекрыть доступ к тысячам VPN-сервисов, у Роскомнадзора просто не хватит ресурсов, поэтому власти решили ударить по самым популярным. Кроме того, РКН заблокировал самый современный протокол WireGuard. Его по умолчанию использует и бесплатный Cloudflare WARP, и многие платные, включая NordVPN.

У блокировок VPN-сервисов в России уже давно есть обоснование, подкреплённое законом. С 2017 года действует федеральный закон 276-ФЗ, обязывающий поставщиков VPN-услуг подключаться к федеральной государственной информационной системе (ФГИС) и блокировать доступ к запрещённым ресурсам. При этом самостоятельно VPN присоединиться к ней не могут — их должны туда пригласить. В таком случае у сервиса есть месяц, чтобы выполнить все предписания, а в случае отказа последует блокировка.

Однако этот закон большинство VPN-сервисов просто проигнорировали. Ещё в 2019 году Роскомнадзор направил требования о необходимости подключения к ФГИС владельцам десяти VPN-сервисов — согласились только представители Kaspersky Secure Connection.

В попытках в том числе контролировать сервисы, в 2021 году и была внедрена система ТСПУ с системой фильтрации DPI.

В начале 2022 года Госдума приняла в третьем (окончательном) чтении новый законопроект, которым вводится ответственность за попытку обхода запретов в интернете с использованием VPN-решений. Он вводит ответственность в том числе и для обычных пользователей. Пока что случаев предъявления исков ни к гражданам, ни к компаниям не было, но вот что потенциально может им грозить:

Впрочем, непонятно, будут ли в действительности как-то наказывать россиян за пользование VPN. Например, Александр Хинштейн заявил, что пользователи не будет нести ответственность за публикации в инстаграме даже после блокировки — а пользоваться им иначе, чем через VPN, в России сейчас просто невозможно.

Пользователи большинства сервисов могут быть спокойны: многие компании ещё после выхода закона 2017 года свернули свои российские представительства и вынесли оборудование и точки доступа за пределы РФ, а их сервера разбросаны по всему миру. Тем не менее, в любой момент именно ваш любимый сервис может быть заблокирован, поэтому лучше иметь под рукой сразу несколько.

Клиентское ПО обращается к «своим» серверам и затем устанавливает соединение с ними, минуя систему отслеживания трафика на уровне собственного провайдера — маскировка трафика представит его как поток локальных данных.

О предоставлении бесперебойного доступа своим клиентам уже объявили практически все наиболее крупные сервисы. Более того, многие из них предлагают свои услуги бесплатно.

Однако использование VPN может оказаться небезопасным для пользователя, поскольку сервисы собирают конфиденциальную информацию: историю поиска, логины и пароли, информацию о совершенных платежах. А значит, затем могут передать её третьим лицам, а в перспективе — даже сообщить об использовании VPN властям.

Эксперты рекомендуют с особенной осторожностью относиться именно к полностью бесплатным сервисам. В то время как крупные организации имеют бесплатные тарифы, чтобы продвигать платные пакеты, сервисы, которые абсолютно бесплатны, могут использоваться злоумышленниками. В анализе Top10VPN за 2019 год говорится, что многие бесплатные мобильные VPN даже не имеют политики обработки данных — а стало быть, вольны делать, что угодно.

В июле 2020 года исследователи Comparitech обнаружили, что гонконгский UFO VPN, который утверждал, что не ведёт журналы активности пользователей, на самом деле хранит их, записи доступа и пароли в открытом виде в общедоступной базе данных.

Позднее выяснилось, что UFO VPN и ещё семь фирм оказались связаны с компанией Dreamfii HK Limited, которая предлагает как платные, так и бесплатные услуги VPN — последние она финансирует за счёт рекламы. Компания утверждала, что у неё «нет журналов, нет мониторинга» активности пользователей.

Кроме того, неправильно настроенный VPN может привести к утечке информации о действиях пользователя в интернете, даже если он успешно изменил ваш IP-адрес. По информации Wired, при тестировании 150 самых популярных VPN для Android в 2021 году, целых 25% пострадали от этих утечек. Среди уязвимых сервисов оказался Hola VPN, который имеет более 50 миллионов установок на Android.

Top10VPN в своём исследовании также обнаружил, что многие бесплатные VPN-приложения запрашивают от пользователя слишком много разрешений, которые не нужны для работы сервиса — в том числе доступ к камере устройства, микрофону и отслеживанию геолокации

Те же исследователи обнаружили несколько бесплатных VPN-провайдеров из Китая и Гонконга с «тревожными данными» о конфиденциальности и безопасности. Дело в том, что местные законы требуют, чтобы поставщики услуг сохраняли журналы активности пользователей. Аналогичные меры также действуют в Великобритании и Ирландии, так что пользователям стоит внимательнее пользоваться сервисами, расположенными в этих странах.

Некоторые компании, предоставляющие услуги VPN, в своё время отказались передавать властям запрашиваемые данные, чем заслужили доверие пользователей. Однако доверие к громким именам тоже может обернуться проблемами.

В этом контексте стоит вспомнить историю Facebook, чей Onavo Protect VPN был закрыт в 2018 году, а Facebook Research VPN — в 2019 году. Оба собирали данные о своих пользователях, в том числе их историю поиска.

В марте 2020 года платформу аналитики Android-приложений Sensor Tower была уличили в использовании бесплатных приложений VPN для сбора данных о приложениях, которые пользователи установили на свои телефоны.

В отчёте TechCrunch за 2014 год отмечается, что дочерняя компания Smart Sense, принадлежащая конкурирующей аналитической фирме App Annie, выпустила VPN-приложение — ныне несуществующий VPN Defender — для проверки скаченных пользователем приложений. После этого данные могли продаваться третьим лицам.

Кроме того, бесплатные VPN-сервисы не всегда справляются с хранением пользовательской информации. Lenta.ru со ссылкой на основателя сервиса разведки утечек данных DLBI Ашота Оганесяня писала, что у выпускающих их компании может просто не быть денег на улучшение информационной безопасности. Поэтому, по словам Оганесяна, утечки данных пользователей бесплатных VPN-сервисов происходят «как минимум раз в квартал».

Чтобы хоть как-то обезопасить себя, перед установкой сервиса стоит проверить политики конфиденциальности и ведения журналов, а также узнать, как он решал судебные иски и проблемы безопасности в прошлом, если они возникали. Стоит отдать предпочтение VPN-сервисам, о которых говорят авторитетные специалисты или СМИ, или же подумать о платном сервисе, потому что у бесплатного почти всегда есть своя «скрытая» цена — от рекламы до передачи данных.

#технологии #vpn