На Хабре уже было несколько публикаций про новые принятые в Госдуме поправки (https://habr.com/ru/news/928638/, https://habr.com/ru/companies/amnezia/articles/928378/, https://habr.com/ru/news/928332/ и т.д.), и там в комментариях звучало много довольно схожих вопросов на тему "а как оно может быть?", на которые я постараюсь сегодня ответить.
Сразу говорю, разбирать будем именно с технической, а не с юридической точки зрения. С юридической точки зрения там, конечно, тоже есть интересные моменты (например то что слова всяких сенаторов о "это мы не будем" не имеют никакой юридической силы, а решения будут принимать конкретные следователи и судьи исходя из их толкования закона, или то что "экстремистские материалы" по факту не ограничиваются только лишь списком из пяти с лишним тысяч записей, а на самом деле по закону ими может являться много всего другого, отсутствующего в списке).
Начнем, пожалуй, со статьи КоАП 13.52, предусматривающей наказание за "Нарушение порядка использования на территории Российской Федерации программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен"
По сути дела незаконными становятся любые "программно-аппаратные средства", которые позволят получать доступ к заблокированным ресурсам - это и VPN, и прокси, и SSH-туннели, и при желании сюда можно притянуть даже Remote Desktop и прочие VNC. Само по себе пользование ими не запрещено до тех пор, пока они не дают возможность (не обязательно чтобы этим кто-нибудь воспользовался, главное наличие самой возможности) получать доступ к заблокированным ресурсам.
Как сторонний наблюдатель (например интернет-провайдер) может выявить факт пользования такими средствами?
В принципе, выявление VPN и туннелей с целью блокировок давно уже поставлено РКН'ом на поток, но к счастью, тут все не так просто.
Классические VPN-протоколы типа IPSec, Wireguard и других давно и вполне уверенно детектируются с помощью оборудования DPI.
С TLS-based VPN (SoftEther, OpenConnect, SSTP) все чуть сложнее, но они выявляются с помощью active probing (хотя кажется пока РКН этим особо и не занимается).
Со всякими новомодными штуками типа VLESS и подобными, SSH-туннелями и прочим все еще сложнее, потому что они выглядят как легитимные протоколы, и при этом не уязвимы к active probing, но и там в теории факт использования туннеля или VPN можно определить по косвенным признакам. Например, вы случайно через свой иностранный сервер зашли на какой-то российский ресурс или воспользовались российским сервисом. Ресурс видит, что к нему подключаются "вроде бы из-за бугра", хотя юзер по геолокации и косвенным признакам находится в РФ, а дальше достаточно по метаданным с тех же ТСПУ или записпй по закону Яровой убедиться, что в это же время абонент подключался к тому самому "иностранному IP" и передавал примерно такие же объемы трафика. Значит, весьма вероятно, используется туннель/VPN с возможностью выхода через него в интернет, а поскольку он в иностранной юрисдикции, то там доступны заблокированные ресурсы - если только администратор сервера специально не настроил фильтрацию запрещенки по спискам Роскомнадзора. Поправьте меня, если я ошибаюсь, но насколько я помню официального доступа к таким спискам у обычных людей нет (только у лицензированных операторов, ну либо неофициальные слитые энтузиастами списки).
Но, как мне кажется, для простых людей, поднявших себе self-hosted VPN/proxy такое применяться наврядли будет - слишком много мороки искать и доказывать (у нас же работает в судах презумпция невиновности, правда? Хотя о чем это я...).
А вот кому следует напрячься - это тем, кто продает такие услуги за деньги. Там достаточно произвести "контрольную закупку" (по наводке недоброжелателей или конкурентов), и у вас будут проблемы.
Им же следует напрячься из-за другой части поправки, запрещающей рекламу всех этих средств.
Согласно статье 3 Федерального закона от 13.03.2006 №38-ФЗ (ред. от 26.12.2024) «О рекламе», реклама — это информация, распространённая любым способом, в любой форме и с использованием любых средств, адресованная неопределённому кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке.
Судя по это формулировке, под запрет попадает даже просто призывы использовать VPN/прокси в комментариях и в личных разговорах.
Но по технической части тут сказать нечего, поэтому идем дальше, к самому интересному.
поиск заведомо экстремистских материалов и получение доступа к ним, в том числе с использованием программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен
И вот тут у людей сразу всплывает технический вопрос: а что вообще видит интернет-провайдер (и те с кеми он вынужден сотрудничать)? И что они видят в случае использования прокси/VPN?
Давайте разбираться. Да, сегодня повсеместно используется TLS-шифрование, сделанное как раз для защиты передаваемой информации от посторонних глаз. Но тем не менее, сторонние наблюдатели все равно видят кое-какую информацию в открытом виде: это DNS запросы, поле SNI при установке подключения (домен сайта) и IP-адрес сервера.
DNS-запросы (по которым видно, к какому именно сайту вы пытаетесь обратиться) по классике передается в нешифрованном виде. Существуют расширения DoH и DoT для их шифрования, однако РКН блокирует адреса многих популярных DoH-резолверов.
SNI (server name identification) передает домен сайта, к которому вы подключаетесь по TLS. Он тоже по умолчанию передается в открытом нешифрованном виде, даже в TLS 1.3. Существует расширение ECH (encrypted client hello) для того чтобы скрыть это поле и некоторые другие данные, однако оно пока что поддерживается очень небольшим количеством серверов, и самое главное - при использовании ECH в открытом виде все-равно должен передаваться какой-то "домен-заглушка", необходимый для работы ECH, и РКН тоже уже банит такие известные домены (например cloudflare-ech.com), так что подключиться в этом случае просто не получится.
Ну и IP-адрес - если сайт, к которому вы подключаетесь, хостится в популярном облаке, на CDN или на большом shared-хостинге, то это знание мало что даст, потому что на одной IP-адресе могут быть сотни и тысячи сайтов, но вот если конкретный сайт один на одном IP, то факт доступа к сайту уже вполне однозначный.
Защищает ли от всего этого использование средств обмана DPI типа GoodbyeDPI, Zapret, и т.д.?
Частично.
Вам по-прежнему надо заботиться об использовании DoH/DoT, чтобы не было видно ваши DNS-запросы, и наблюдатели по-прежнему будут видеть, к каким IP-адресам вы подключаетесь.
Защищает ли от всего этого использование прокси/VPN?
В целом, да.
При их включении провайдер будет видеть, как будто вы подключаетесь к какому-то одному сервису/сайту, но не будет видеть передаваемые внутри подключения данные.
Но и здесь есть определенные нюансы (далее все что я пишу про VPN также относится и к прокси/туннелям):
VPN (или его хостер) может быть скомпроментированным и сливать ваши данные. А если у вас self-hosted VPN и он не фильтрует запрещенные сайты, то по этому новому закону вы уже правонарушитель - см. начало статьи.
У криво настроенного VPN может быть утечка DNS, в результате чего DNS-запросы будут идти в обход VPN к вашему интернет-провайдеру.
Вас может заложить браузер, передающий данные о посещенных сайтах куда-то.
Плюс браузер может хранить историю посещений, и тут не стоит забывать о возможном физическом получении доступа к вашему устройству (например при остановке на улице с целью проверки, как это делают, например, в Беларуси, или при пересечении государственной границы с выборочными проверками).Приложения на вашем устройстве могут вас деанонимизировать даже с VPN и инкогнито режимом: Localhost-атака: как Meta* и Яндекс следят за пользователями Android через localhost
Информацию о просмотренных вами страницах и поисковых запросах могут слить сами сайты/сервисы. В РФ существует так называемый реестр ОРИ (организаторов распространения информации), внесенные в который сервисы обязаны по закону предоставлять государственным органам данные о том, что делали их пользователи. Более того, по этому же закону они обязаны не просто "предоставлять по запросу", а интегрировать программные или аппаратные решения, которые позволят органам получать такую информацию автоматически. Как пишет Роскомсвобода, среди сайтов и сервисов в реестре ОРИ "есть такие крупные, как «ВКонтакте», компания «Яндекс» и её сервисы, холдинг Mail.Ru Group, «Рамблер», liveinternet.ru, «Сбербанк Онлайн», «Тинькофф Банк», портал «Пикабу», «Аэрофлот», автомобильный сайт «Дром.ру», регистратор доменных имён «Рег.Ру», порталы знакомств Mamba и Wamba", и даже Хабр.
И еще довольно важный нюанс. Если шифрование скомпрометировано, то HTTPS и даже VPN уже не помогут. В этом контексте часто вспоминают "Сертификат Минцифры". Наличие посторонних сертификатов среди доверенных в браузере (а еще хуже - в системе) позволяет при необходимости тихо и незаметно провернуть MitM (Man-in-the-middle) и получить доступ к расшифрованному трафику вообще почти к любому ресурсу, в том числе иностранному.
Некоторые сервисы защищаются от такого с помощью механизмов certificate pinning или им подобным, но 1) подобное используется далеко не везде и не всеми ресурсами 2) используется ли certificate pinning при подключении к вашему VPN/прокси? В 99.9% случаев нет.
Какие тут напрашиваются выводы и советы?
Используйте DoH/DoT где это возможно.
Используйте шифрованный VPN/прокси у надежного хостера не имеющего никаких связей с родиной.
В VPN/proxy-клиенте используйте split tunneling, чтобы подключения к российским сайтам и сервисам шли напрямую. Для надежности можно на самом сервере запретить доступ через него к РФ-сайтам, или завернуть трафик до них на cloudflare warp, чтобы были разные адреса входа и выхода.
Не пользуйтесь отечественными сервисами для поиска информации и личной переписки, особенно теми, что в реестре ОРИ.
Не держите на устройствах приложений от компаний и сервисов, находящихся в реестре ОРИ или относящихся к госучреждениям (https://habr.com/ru/articles/915732/)
Настройте в браузере автоматическое удаление истории просмотров.
При необходимости использовать сертификат Минцифры, установите его в отдельный инстанс браузера, а в идеале - в отдельную виртуальную машину.