Российские сервисы перестали работать при включённом VPN. Как устроены подобные ограничения и как обойти запрет?

Крупнейшие российские сервисы перестали работать при включённом VPN. Часть из них применяет блокировку только к пользователям из России, часть — и к зарубежным посетителям. Они делают это под давлением российских властей. «Вёрстка» рассказывает, можно ли обойти новое ограничение интернета и как это сделать безопасно.

Почему российские сайты и сервисы требуют выключить VPN

Этого в конце марта потребовал от сервисов глава Министерства цифрового развития Максут Шадаев. Как сообщали Forbes и РБК, министр провёл совещания с бизнесом, на которых попросил принять меры против использования их клиентами средств обхода блокировок.

Как утверждалось, от операторов связи министр попросил ввести плату за использование более 15 Гб международного трафика в месяц на мобильных сетях через VPN. От крупнейших цифровых площадок — блокировать пользователей VPN и делиться информацией о новых VPN-сервисах c Роскомнадзором.

В случае если компания не выполнит требования, то её могут исключить из белых списков блокировщиков и лишить льгот для IT-компаний, утверждал один из источников РБК. В частности — снижения налогов, отсрочки от армии и льготной ипотеки для сотрудников.

Сообщалось, что сервисы обхода блокировок уже начали определять приложения и сайты мобильных операторов «Билайна», «Мегафона», МТС, а также сервисы «Яндекса» (почта, навигатор, карты, «Яндекс.Пей»). Кроме того, это начали делать другие крупнейшие сервисы — Mail.ru, VK, Wildberries, Ozon, РЖД, 2ГИС, «Авиасейлс». 

Пользователей с VPN стали определять онлайн-кинотеатры «Кинопоиск» и Wink, розничные сети «Детский мир», DNS, «Пятерочка», «Золотое яблоко», «Перекресток». Также ограничивают пользователей VPN «Госуслуги» и «национальный мессенджер» Max.

Как сайты и сервисы узнают, что пользователь подключен к VPN?

У них очень много возможностей это делать. Это только основные:

• Используют базу IP-адресов, связанных с популярными VPN-сервисами. Самый простой способ. IP-адреса популярных VPN-сервисов профилируются базами данных и поставляются бизнесу в виде коммерческих или открытых списков. При каждом подключении сайт смотрит IP клиента, проверяет его соответствие этой базе и, если адрес попадает в список VPN‑диапазонов, блокирует или ограничивает ему доступ. Кроме того, сервис может определить, что адрес принадлежит дата-центру, а не домашнему интернет-провайдеру. Такая проверка делается на уровне сервера и обходится только сменой подключения на адрес, не попавший в базу. 
• Ищут несоответствия в ваших публичных данных. Сайт проверяет местоположение вашего публичного IP с данными, которые о вас известны. Например, IP‑геолокация может не совпадать с данными, которые раскрывает ваш браузер, например с временной зоной, GPS-координатами, локальными языками системы и подключением к Wi-Fi сетям. Цифровой отпечаток браузера или файлы куки могут храниться сервисом и быть заподозрены в использовании VPN по регулярной смене выдаваемой локации. 
• Используют данные из приложений. Мобильные приложения имеют доступ к значительно большему количеству данных, чем браузер. Они могут запрашивать GPS-координаты, получать некоторую системную информацию, видеть идентификаторы устройства, список установленных приложений и данные сенсоров. Некоторые приложения используют аналитические платформы, которые собирают и агрегируют данные о пользователе в фоновом режиме — даже если VPN включён, реальная геолокация устройства может быть передана сервису через эти каналы. 

Как минимум 22 из 30 самых популярных российских приложений на Android следят за тем, включены ли у пользователей VPN-сервисы, выяснили эксперты RKS Global. Но этот список может быть неполным, кроме того, авторы не исследовали приложения для iOS. Если компании наладят обмен данными друг с другом через Роскомнадзор, обойти это будет очень сложно.

• Используют поведенческие особенности трафика. VPN-соединение имеет характерные сетевые признаки, которые можно выявить при глубоком анализе трафика. Среди них — обращение к одному и тому же IP-адресу по фиксированному порту, использование типичных для VPN протоколов, однородная структура пакетов и их инкапсуляция. 

Этот метод чаще применяется не сайтами, а государственными системами блокировки и интернет-провайдерами. В том числе его могут использовать мобильные операторы.  

Можно ли обойти запрет на VPN у сайтов и сервисов?

Скрывать использование VPN в России становится всё сложнее. В современных реалиях лучше держать наготове два-три VPN-сервиса, если этот вариант подходит вам финансово. 

Для обхода запретов российских сайтов и сервисов имеет смысл выключать VPN на время их использования, а ещё лучше настроить в своём VPN-клиенте список исключений.

• Большинство современных VPN-клиентов позволяют выбрать, какие приложения или сайты будут работать через VPN, а какие — напрямую. Если VPN нужен вам для одних задач (например, просмотра Youtube), а конкретный сервис (например, «Кинопоиск») его не принимает — просто исключите этот сервис. 

Трафик к нему пойдёт через ваш обычный IP, а остальной останется защищён. В большинстве клиентов эта настройка называется split tunneling или раздельное туннелирование и находится в разделе настроек подключения. На время посещения крупных российских сайтов и использования приложений VPN можно вообще отключать.

• В простых случаях может помочь и смена сервера подключения. Часто достаточно переключиться на другой сервер того же VPN-провайдера — особенно если у него большой пул адресов. Некоторые VPN-сервисы предлагают серверы с маскировкой трафика или выделенные IP-адреса, которые реже попадают в чёрные списки. 
• Снизить вероятность обнаружения помогает и согласованность данных: выбирайте VPN-сервер в той же стране и часовом поясе, которые соответствуют вашим языковым настройкам и прочим параметрам браузера. Также стоит периодически очищать файлы куки и использовать режим инкогнито, чтобы сайт не мог сопоставить ваш текущий отпечаток с предыдущими сессиями из другой локации.
• Можно также отключить геолокацию на уровне системных настроек смартфона и ограничить приложениям доступ к использованию геолокации (Настройки» > «Конфиденциальность и безопасность в iOS и «Настройки» → «Защита и конфиденциальность» → «Настройки конфиденциальности» → «Разрешения» в Android), а также по возможности использовать веб-версию нужного вам сервиса вместо его приложения.
• Противодействовать государственным системам блокировки и интернет-провайдерам, которые анализируют поведенческие особенности трафика, помогают протоколы VPN, маскирующие трафик под другие запросы — самыми устойчивыми сейчас считаются VLESS + XTLS‑Reality, Shadowsocks, Obfuscated WireGuard.
• Очистить куки и кэш, или использовать режим инкогнито. Если сайт уже «запомнил» вашу настоящую локацию через куки или отпечаток браузера, смена IP не поможет — сервис сопоставит новую сессию со старой. Заходите через чистый профиль браузера или в режиме инкогнито, чтобы сайт не мог связать вас с предыдущими визитами.

При этом важно отметить, что само использование VPN не является нарушением закона и за это наказания по-прежнему нет. Есть лишь несколько небольших ограничений: использование VPN уже начали считать отягчающим обстоятельством при совершении преступлений (но пока только в делах о наркотиках), а также эти сервисы нельзя рекламировать в контексте обхода блокировок.

Иллюстрация: REUTERS/Dado Ruvic