Всем доброго времени суток, в прошлой моей статье я разбирал тему VPN и "зарубежного трафика" и на удивление для меня, она заняла первое место в разделе самые популярные статьи за сутки на Хабре. И так получилось, что я увидел новость о новых поправках "Антифрод 2.0", которые снова касаются VPN. Прослеживается какая-то не здоровая "любовь" к VPN в последнее время в СМИ.

Добро пожаловать в новую реальность

Коротко стоит пробежаться по самой новости, чтобы вы были в курсе того, что же опять решили замутить там сверху.
В пакет «Антифрод 2.0» ко второму чтению в Госдуме внесли поправки, обязывающие хостинг‑провайдеров ограничивать доступ для владельцев VPN‑сервисов. Опять-таки это ещё не закон, НО привкус уже имеется.
Может показаться что это что-то далекое и маловероятное, но опыт показывает: когда «непопулярные» поправки появляются перед вторым или третьим чтением, это означает, что решения уже приняты. Можно провести параллель с предыдущими историями: о лимите 15 ГБ говорили незадолго до 1 мая, и теперь мы видим, как маркетплейсы и банки проверяют, не включён ли у вас VPN.

Собственно последнюю новость я и разбирал в предыдущей статье...

Поправка звучит просто: «хостинг‑провайдеры обязаны проверять своих клиентов, входят ли они в список нарушителей, и отказывать в услугах тем, кто обеспечивает доступ к информации, запрещённой на территории РФ».

Хостеры: из посредников в контролёры

Хостинг‑провайдеры - это компании, которые сдают нам серверы, виртуальные машины, места на дисках. В отличие от интернет‑операторов, они не передают трафик. До сих пор хостеры были техническими посредниками: они закрывали глаза на то, что происходит внутри наших VPS, пока не получали уведомление от РКН или правоохранительных органов. Теперь добавляется новая роль: им придётся проверять клиентов по спискам Роскомнадзора и следить, чтобы никто не «обеспечивал доступ к заблокированным сайтам».

Что обязательно повлечёт за собой ужесточение оферты и более плотному взаимодействию с регулятором. Хостер должен будет сверять IP клиента с блэк листами, убеждаться, что тот выполняет предписания, а в противном случае отключать услугу.
И как всегда, если что-то ужесточаем, то для этого требуется специализированное оборудование, которого у большинства хостеров нет, а его покупка потребует дополнительных инвестиций, что в свою очередь приведёт к росту цен.

Прошу заметить: речь идёт не о полном запрете VPN. Пресс‑секретарь президента Дмитрий Песков повторяет, что никакой ответственности за использование VPN пока не предусмотрено. Но мы уже сразу понимаем, что это не совсем так: если хостер разорвал договор с вами за то, что вы подняли свой OpenVPN на VPS, насколько вам проще от того, что «VPN законен»?

“Антифрод 2.0” и его спутники

Сама поправка - часть огромного пакета «Антифрод 2.0». Он содержит десятки мер, и борьба с VPN - лишь одна из них. Среди инициатив: лимит в 15 ГБ международного трафика, после которого предлагается брать деньги за каждый гигабайт; маркировка международных звонков; обязательная идентификация абонентов; создание детских SIM‑карт; запрет размещать виртуальные АТС за рубежом; блокировка фишинговых сайтов без суда; объединённый реестр IMEI‑кодов и банковских карт; кнопка «паника», чтобы заморозить ваш счёт при подозрении на мошенничество.

Пока законодатели спорят, бизнес уже выполняет некоторые рекомендации. С марта крупнейшие сервисы («Сбер», «Яндекс», VK, Ozon, Wildberries и другие) начали проверять включён ли у пользователя VPN: если да, то доступ ограничивают и просят выключить VPN. Операторы МТС и «Билайн» отключили оплату Apple ID со счёта — лишняя помеха для покупки подписки на VPN. Из российского App Store удаляют десятки VPN‑клиентов, а проект Apple Censorship насчитывает сотни удалённых приложений.

Есть идея, написать статью о VPN-сервисах, которые по какой-то причине не исчезают из App Store. Мне кажется, что все понимают - там что-то не чистое.

А ещё на закрытом совещании, у уже знакомого многим, Максута Шадаева операторы договорились не расширять международные каналы связи без согласования с Минцифры. По данным РБК, около двадцати компаний подписали мораторий на ввод новых линий в сторону Европы, надеясь, что перегруженные каналы заставят VPN‑трафик «задохнуться». Таким образом они хотят спровоцировать операторов либо фильтровать трафик, либо поднять цены, чтобы отбить желание качать зарубежный контент. Ведомство называет это «экономическим фильтром» — красивое слово для идеи «урежем каналы, чтобы вам было больно».

Методички по выявлению VPN и технологические реалии

Данную тему я уже разбирал. Здесь я коротко объясню принципы, для тех, кто не хочет читать предыдущую статью. Все остальные могут перейти по ссылке в конце статьи и прочитать статью о "зарубежном" трафике.

В апреле бизнесу разослали методические указания: сначала компания анализирует IP‑адреса пользователей, сверяя их с базой российских адресов и списком заблокированных IP. Если страна не Россия или адрес в чёрном списке — требуется дополнительная проверка. На втором этапе приложение на устройстве должно проверить, установлены ли VPN‑клиенты. С этим, по признанию Минцифры, на iOS большие проблемы: приложения изолированы и не видят друг друга. На третьем этапе компаниям советуют анализировать подключение на десктопах — но методичка сразу предупреждает: VPN на роутере или в виртуальной машине останется невидимым; прокси с «домашними» IP и split‑tunneling тоже обходят проверку. И не забывайте, что непрерывный мониторинг высаживает батарею и трафик, поэтому Минцифры не рекомендует его проводить.

И как вы понимаете, достоверно сказать, что у определённого пользователя VPN - задача не из простых, поэтому многие могут наблюдать, что сервисам проще блокировать входы из любых заграничных IP адресов, чем проводить хоть какой-то анализ.

Экономический фильтр: замораживание каналов

История с мораторием на международные каналы - хороший пример того, как техническую проблему пытаются решить экономикой. По данным РБК, операторы обязаны запрашивать у Роскомнадзора и Минцифры разрешение на расширение каналов связи, и это разрешение, скорее всего, не дадут.
Регуляторы рассчитывают, что когда VPN‑трафик вырастет - каналы перегрузятся, и операторы либо повысят стоимость на доступ к зарубежным ресурсам, либо начнут фильтровать трафик сами. Больше всего пугает, что срок действия моратория не был определён и что-то подсказывает, что он может стать постоянным.

Влияние на бизнес и обычных людей

Большая часть читателей скажет: «Я не продаю VPN, мне всё равно». Но разработчики деплоят контейнеры в облаке, админы держат тестовые сервера, стартапы арендуют VDS в России. Корпоративные VPN позволяют безопасно подключаться к внутренним системам, особенно в эпоху удалёнки. Поправка превращает хостера в начальника безопасности: он должен понять, что вы поднимаете VPN для удалённой работы, а не для обхода блокировки. Но как это сделать, если даже специалисты РКН признают: отличить «легальный» VPN от обычного почти невозможно!

ФСБ и Минцифры обсуждают ещё более жёсткие меры: у компаний, которые не справились с «обеспечением информационной безопасности» или с ограничением доступа пользователей с включёнными VPN, могут отобрать IT‑аккредитацию и льготы; продукты можно исключить из обязательного списка предустановленного ПО.

А банальные риски ошибки, никуда не деваются. В методичках нет надёжного способа отличить VPN от соединения белорусского или казахстанского пользователя. И развлекательные сервисы уже боятся случайно потерять аудиторию с соседних рынков.

Как всегда много вопросов и мало ответов

В финале хочется спросить у вас, особенно если вы разработчик/админ/хостер сможете ли вы объяснить машинке DPI, что ваш туннель - это не заграничные сериалы от HBO или стримы с Twitch'а, а корпоративный VPN, без которого ваша бухгалтерия и прод, а скорее всего и вся компания просто перестанут работать, чьи простои будут стоить не меленьких денег. А также кто заплатит за новые системы и сотрудников, которые будут сверять списки и следить за безопасностью? А как быть с локальными проектами и стартапами, которые не впишутся в требования или рассчитывают работать на глобального пользователя и уйдут за рубеж?

Гайки закручиваются, и вопрос лишь в том, где и когда сорвётся резьба. Мы все зависим от интернета, который давно перестал быть «зарубежным» или «отечественным» — он просто сеть.

Наверное на этом всё, честно говоря завидую смелости некоторых комментаторов, в высказывании своего мнения на этот счёт, но давайте пожалуйста, будем рассуждать на "холодную" голову. На этом у меня всё!

Спасибо всем огромное, что дочитали до самого конца, на статьи уходит действительно много времени и ментальных сил, и на данный момент кроме дофамина за лайки, комментарии меня мотивирует продолжать писать ваша реакция и моё желание оставить свои 5 копеек в сообществе.

Если вам интересны технические детали о DPI, лимитах на международный трафик и том, что видит оператор, — приглашаю прочитать мою первую статью на эту тему. Там я постарался простыми словами объяснить, как работают протоколы и как их ловят.