Разбираем новый закон про VPN и «поиск материалов» с технической точки зрения
МЕНЮ
Главная страница
Поиск
Регистрация на сайте
Помощь проекту
Архив новостей
ТЕМЫ
Новости ИИ
Городские сумасшедшие
ИИ в медицине
ИИ проекты
Искусственные нейросети
Искусственный интеллект
Слежка за людьми
Угроза ИИ
ИИ теория
Компьютерные науки
Машинное обуч. (Ошибки)
Машинное обучение
Машинный перевод
Нейронные сети начинающим
Психология ИИ
Реализация ИИ
Реализация нейросетей
Создание беспилотных авто
Трезво про ИИ
Философия ИИ
Генетические алгоритмы
Капсульные нейросети
Основы нейронных сетей
Промпты. Генеративные запросы
Распознавание лиц
Распознавание образов
Распознавание речи
Творчество ИИ
Техническое зрение
Чат-боты
Авторизация
2025-07-22 12:27
На Хабре уже было несколько публикаций про новые принятые в Госдуме поправки (https://habr.com/ru/news/928638/, https://habr.com/ru/companies/amnezia/articles/928378/, https://habr.com/ru/news/928332/ и т.д.), и там в комментариях звучало много довольно схожих вопросов на тему "а как оно может быть?", на которые я постараюсь сегодня ответить.
Сразу говорю, разбирать будем именно с технической, а не с юридической точки зрения. С юридической точки зрения там, конечно, тоже есть интересные моменты (например то что слова всяких сенаторов о "это мы не будем" не имеют никакой юридической силы, а решения будут принимать конкретные следователи и судьи исходя из их толкования закона, или то что "экстремистские материалы" по факту не ограничиваются только лишь списком из пяти с лишним тысяч записей, а на самом деле по закону ими может являться много всего другого, отсутствующего в списке).
Начнем, пожалуй, со статьи КоАП 13.52, предусматривающей наказание за "Нарушение порядка использования на территории Российской Федерации программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен"
По сути дела незаконными становятся любые "программно-аппаратные средства", которые позволят получать доступ к заблокированным ресурсам - это и VPN, и прокси, и SSH-туннели, и при желании сюда можно притянуть даже Remote Desktop и прочие VNC. Само по себе пользование ими не запрещено до тех пор, пока они не дают возможность (не обязательно чтобы этим кто-нибудь воспользовался, главное наличие самой возможности) получать доступ к заблокированным ресурсам.
Как сторонний наблюдатель (например интернет-провайдер) может выявить факт пользования такими средствами?
В принципе, выявление VPN и туннелей с целью блокировок давно уже поставлено РКН'ом на поток, но к счастью, тут все не так просто.
Классические VPN-протоколы типа IPSec, Wireguard и других давно и вполне уверенно детектируются с помощью оборудования DPI.
С TLS-based VPN (SoftEther, OpenConnect, SSTP) все чуть сложнее, но они выявляются с помощью active probing (хотя кажется пока РКН этим особо и не занимается).
Со всякими новомодными штуками типа VLESS и подобными, SSH-туннелями и прочим все еще сложнее, потому что они выглядят как легитимные протоколы, и при этом не уязвимы к active probing, но и там в теории факт использования туннеля или VPN можно определить по косвенным признакам. Например, вы случайно через свой иностранный сервер зашли на какой-то российский ресурс или воспользовались российским сервисом. Ресурс видит, что к нему подключаются "вроде бы из-за бугра", хотя юзер по геолокации и косвенным признакам находится в РФ, а дальше достаточно по метаданным с тех же ТСПУ или записей по закону Яровой убедиться, что в это же время абонент подключался к тому самому "иностранному IP" и передавал примерно такие же объемы трафика. Значит, весьма вероятно, используется туннель/VPN с возможностью выхода через него в интернет, а поскольку он в иностранной юрисдикции, то там доступны заблокированные ресурсы - если только администратор сервера специально не настроил фильтрацию запрещенки по спискам Роскомнадзора. Поправьте меня, если я ошибаюсь, но насколько я помню официального доступа к таким спискам у обычных людей нет (только у лицензированных операторов, ну либо неофициальные слитые энтузиастами списки).
Но, как мне кажется, для простых людей, поднявших себе self-hosted VPN/proxy такое применяться наврядли будет - слишком много мороки искать и доказывать (у нас же работает в судах презумпция невиновности, правда? Хотя о чем это я...).
А вот кому следует напрячься - это тем, кто продает такие услуги за деньги. Там достаточно произвести "контрольную закупку" (по наводке недоброжелателей или конкурентов), и у вас будут проблемы.
Им же следует напрячься из-за другой части поправки, запрещающей рекламу всех этих средств.
Согласно статье 3 Федерального закона от 13.03.2006 №38-ФЗ (ред. от 26.12.2024) «О рекламе», реклама — это информация, распространённая любым способом, в любой форме и с использованием любых средств, адресованная неопределённому кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.
Судя по это формулировке, под запрет попадает даже просто призывы использовать VPN/прокси в комментариях и в личных разговорах.
Но по технической части тут сказать нечего, поэтому идем дальше, к самому интересному.
поиск заведомо экстремистских материалов и получение доступа к ним, в том числе с использованием программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен
И вот тут у людей сразу всплывает технический вопрос: а что вообще видит интернет-провайдер (и те с кеми он вынужден сотрудничать)? И что они видят в случае использования прокси/VPN?
Давайте разбираться. Да, сегодня повсеместно используется TLS-шифрование, сделанное как раз для защиты передаваемой информации от посторонних глаз. Но тем не менее, сторонние наблюдатели все равно видят кое-какую информацию в открытом виде: это DNS запросы, поле SNI при установке подключения (домен сайта) и IP-адрес сервера.
DNS-запросы (по которым видно, к какому именно сайту вы пытаетесь обратиться) по классике передается в нешифрованном виде. Существуют расширения DoH и DoT для их шифрования, однако РКН блокирует адреса многих популярных DoH-резолверов.
SNI (server name identification) передает домен сайта, к которому вы подключаетесь по TLS. Он тоже по умолчанию передается в открытом нешифрованном виде, даже в TLS 1.3. Существует расширение ECH (encrypted client hello) для того чтобы скрыть это поле и некоторые другие данные, однако оно пока что поддерживается очень небольшим количеством серверов, и самое главное - при использовании ECH в открытом виде все-равно должен передаваться какой-то "домен-заглушка", необходимый для работы ECH, и РКН тоже уже банит такие известные домены (например cloudflare-ech.com), так что подключиться в этом случае просто не получится.
Ну и IP-адрес - если сайт, к которому вы подключаетесь, хостится в популярном облаке, на CDN или на большом shared-хостинге, то это знание мало что даст, потому что на одной IP-адресе могут быть сотни и тысячи сайтов, но вот если конкретный сайт один на одном IP, то факт доступа к сайту уже вполне однозначный.
Защищает ли от всего этого использование средств обмана DPI типа GoodbyeDPI, Zapret, и т.д.?
Частично.
Вам по-прежнему надо заботиться об использовании DoH/DoT, чтобы не было видно ваши DNS-запросы, и наблюдатели по-прежнему будут видеть, к каким IP-адресам вы подключаетесь.
Защищает ли от всего этого использование прокси/VPN?
В целом, да.
При их включении провайдер будет видеть, как будто вы подключаетесь к какому-то одному сервису/сайту, но не будет видеть передаваемые внутри подключения данные.
Но и здесь есть определенные нюансы (далее все что я пишу про VPN также относится и к прокси/туннелям):
-
VPN (или его хостер) может быть скомпроментированным и сливать ваши данные. А если у вас self-hosted VPN и он не фильтрует запрещенные сайты, то по этому новому закону вы уже правонарушитель - см. начало статьи.
-
У криво настроенного VPN может быть утечка DNS, в результате чего DNS-запросы будут идти в обход VPN к вашему интернет-провайдеру.
-
У криво настроенного VPN может быть утечка через WebRTC (спасибо комментарию)
-
У криво настроенного VPN может быть утечка трафика по IPv6
-
Вас может заложить браузер, передающий данные о посещенных сайтах куда-то.
Плюс браузер может хранить историю посещений, и тут не стоит забывать о возможном физическом получении доступа к вашему устройству (например при остановке на улице с целью проверки, как это делают, например, в Беларуси, или при пересечении государственной границы с выборочными проверками). -
Приложения на вашем устройстве могут вас деанонимизировать даже с VPN и инкогнито режимом: Localhost-атака: как Meta* и Яндекс следят за пользователями Android через localhost
-
Информацию о просмотренных вами страницах и поисковых запросах могут слить сами сайты/сервисы. В РФ существует так называемый реестр ОРИ (организаторов распространения информации), внесенные в который сервисы обязаны по закону предоставлять государственным органам данные о том, что делали их пользователи. Более того, по этому же закону они обязаны не просто "предоставлять по запросу", а интегрировать программные или аппаратные решения, которые позволят органам получать такую информацию автоматически. Как пишет Роскомсвобода, среди сайтов и сервисов в реестре ОРИ "есть такие крупные, как «ВКонтакте», компания «Яндекс» и её сервисы, холдинг Mail.Ru Group, «Рамблер», liveinternet.ru, «Сбербанк Онлайн», «Тинькофф Банк», портал «Пикабу», «Аэрофлот», автомобильный сайт «Дром.ру», регистратор доменных имён «Рег.Ру», порталы знакомств Mamba и Wamba", и даже Хабр.
И еще довольно важный нюанс. Если шифрование скомпрометировано, то HTTPS и даже VPN уже не помогут. В этом контексте часто вспоминают "Сертификат Минцифры". Наличие посторонних сертификатов среди доверенных в браузере (а еще хуже - в системе) позволяет при необходимости тихо и незаметно провернуть MitM (Man-in-the-middle) и получить доступ к расшифрованному трафику вообще почти к любому ресурсу, в том числе иностранному.
Некоторые сервисы защищаются от такого с помощью механизмов certificate pinning или им подобным, но 1) подобное используется далеко не везде и не всеми ресурсами 2) используется ли certificate pinning при подключении к вашему VPN/прокси? В 99.9% случаев нет.
Какие тут напрашиваются выводы и советы?
-
Используйте DoH/DoT где это возможно.
-
Используйте шифрованный VPN/прокси у надежного хостера не имеющего никаких связей с родиной.
-
В VPN/proxy-клиенте используйте split tunneling, чтобы подключения к российским сайтам и сервисам шли напрямую. Для надежности можно на самом сервере запретить доступ через него к РФ-сайтам, или завернуть трафик до них на cloudflare warp, чтобы были разные адреса входа и выхода.
-
Не пользуйтесь отечественными сервисами для поиска информации и личной переписки, особенно теми, что в реестре ОРИ.
-
Не держите на устройствах приложений от компаний и сервисов, находящихся в реестре ОРИ или относящихся к госучреждениям (https://habr.com/ru/articles/915732/)
-
Установите расширения браузера или проксирующее ПО чтобы вырезать трекеры аналитики сайтов и компаний, входящий в список ОРИ (спасибо комментарию)
-
Настройте в браузере автоматическое удаление истории просмотров.
-
При необходимости использовать сертификат Минцифры, установите его в отдельный инстанс браузера, а в идеале - в отдельную виртуальную машину.
Источник: habr.com