habrahabr

VPN включил — подозрение получил: анонимность становится красным флагом

  • воскресенье, 27 июля 2025 г. в 00:00:10
https://habr.com/ru/articles/929034/

Напомню ключевые положения закона

  • С 1 сентября 2025 года в России может заработать закон, который введёт административную ответственность за умышленный поиск и доступ к экстремистским материалам в интернете — если с использовать VPN, то это отягчающее.

  • Экстремистские материалы — это те, что внесены в федеральный список Минюста РФ (около 5,500 позиций на июль 2025 года). Классический пример — книга Адольфа Гитлера «Моя борьба» («Mein Kampf»), включённая в этот реестр.

  • Штраф за нарушение: 3,000–5,000 рублей для граждан.

Использование VPN как отягчающее обстоятельство

Сегодня сам факт использования VPN всё чаще рассматривается не как право на приватность, а как сигнал о злом умысле. Логика проста: если ты прячешься — значит, тебе есть что скрывать. То есть, желание остаться анонимным это потенциальное преступление. И это уже первый шаг к тому, чтобы сам факт анонимности стал поводом для расследования.

Я, Григорий Мельников, создатель антибот-сервиса KillBot, покажу, какие дыры не закрываются при использовании ВПН, и дам инструкции как пока ещё легально остаться анонимным.

«Моя борьба»: Как искать, чтобы не было нарушений

Следующие действия не вызовут нарушений:

  • Использование поисковых запросов без явного указания на намерение получить доступ к экстремистскому тексту (например, «история книги Моя борьба», «запрет книги Mein Kampf в России», «уголовные дела Mein Kampf»).

  • Открытие только статей СМИ, юридических ресурсов, энциклопедий (Wikipedia, например), которые обсуждают книгу в обзорном или образовательном контексте.

  • Случайное открытие страницы с названием «Моя борьба» или единичный запрос, который не привёл к скачиванию или чтению экстремистского материала.

Что сочтут нарушением

  • Ввод поисковых запросов вроде «скачать Моя борьба pdf», «Mein Kampf читать онлайн», «Моя борьба полная версия текст».

  • Скачивание, хранение и чтение файла с полным текстом «Моя борьба» (любым способом, особенно через VPN).

  • Заход на сайты, которые в обход блокировок распространяют текст книги.

  • Переписка с предложением предоставить или распространить текст книги.

Кто и как может сообщить о вашем поиске

  • Близкие/домашние: Скриншоты, жалоба, физический доступ к вашему устройству;

  • Поисковики, интернет сервисы, провайдеры, операторы связи: Данные хранятся, но не анализируются без запроса от МВД/ФСБ. Только если есть прямая жалоба.

Анонимность под угрозой

Для внешнего наблюдателя использование VPN — всё равно что надеть маску и выйти на Красную площадь. Ты спрятался, но при этом бросаешься в глаза.

VPN оставляет за собой целый цифровой «шлейф», по которому твой трафик легко отличить от обычного. Далее мы разберём признаки, которые указывают на то, что ты намеренно стараешься скрыть свою личность.

Признаки, которые потенциально указывают на желание остаться анонимным

Ниже приведены технические признаки, по которым поисковик или любой другой интернет-сайт может определить, что вы используете VPN:

  1. Ваш IP-адрес (именно IP VPN сервиса который используется) «пингуется» и на нём открыты некоторые порты: SSH (22), HTTP (80), HTTPS (443), 8080 и прочее. Это явно не домашний комп, а сервер. Вообще, все что пингуется в интернете должно вызывать подозрение.

  2. Ваш IP резолвится на хостинг-компанию (например, Amazon) — это значит, что IP-адрес, с которого пользователь выходит в интернет, принадлежит крупному дата-центру или хостинг-провайдеру, а не обычному домашнему интернет-провайдеру.

  3. Несовпадение языка, часового пояса и IP: locale: ru-RU, timezone: UTC, а IP — США.

  4. DNS-утечка: Резолв DNS идёт НЕ через реального провайдера. Выявляется какие именно DNS сервера клиент использует.
    Спалить просто — достаточно развернуть свой NS-сервер и логировать уникальные рандомные поддомены. Если пользователь использует НЕ провайдерский ДНС, а, например от Google (8.8.8.8) - то это явное желание скрыть себя.

  5. Заблокированный роскомнадзором сайт доступен из твоей сети — значит, ты под VPN.

  6. WebRTC IP не совпадает с внешним IP браузера — WebRTC - это технология в браузере которая спалит твой реальный IP, даже если используется VPN или прокси. Если ты отключишь WebRTC, то сразу будешь не как все (у всех он есть, а у тебя - нет).

  7. TTL говорит, что у тебя Linux, но User-Agent — Windows. Time To Live — это параметр в IP-пакете, который показывает, сколько узлов может пройти пакет до удаления. Этот параметр зависит от OS: Windows128, Linux/macOS/Android64. По оставшемуся TTL можно примерно понять, какая система использовалась на стороне клиента.

Сайт или поисковик может выдать тебя

Все методы деанонимизации — легко внедряются прямо на сайт. Это так же реализовано в моём сервисе KillBot. Всё очень просто: прямо в панели управления, без API, без заморочек. можно самому задать правила на PHP, которые определят и наличие VPN, и построят твой уникальный идентификатор UserID.

Вот пример JSON-данных, доступных сайту

{
  "killbot": { 
    "UserID": "308676189735353810", /* Уникальный идентификатор пользователя */
    "bot": true, /* Флаг бота (true - бот) */
    "vpn": "1", /* Использование VPN (1 - да) */
    "snsht": 1128679841, /* Слепок браузера */
    "net_id": 3957945795, /* Идентификатор сети */
    "net_t": "corp", /* Тип сети (corp - корпоративная/VPN) */
    "bl": false, /* В черном списке */
    "wl": false, /* В белом списке */
    "l": false, /* Код загружен полностью */
    "ffp": "1571847785", /* Font fingerprint */
    "adt": true /* Выявление технологии антидетект */
  },
  "user": { 
    "timezone": "UTC", /* Часовой пояс */
    "locale": "en-US" /* Локализация */
  },
  "net": { 
    "ip": "18.216.102.68", /* IP-адрес */
    "ip_webrtc": "18.216.102.68", /* WebRTC IP */
    "ip_dns": "8.8.8.8", /* DNS IP */
    "host": "ec2-18-216-102-68.us-east-2.compute.amazonaws.com", /* Хостнейм */
    "asn": "16509", /* ASN */
    "country": "US", /* Страна */
    "prots": {
            "80","443" /* Открытые порты */
     }
    "ping": true, /* пингуется или нет ping */
    "ttlOS": "Linux", /* ОС по TTL */
    "ttl": "52", /* Значение TTL */
    "ttl_b": "53", /* Обратный TTL до IP клиента */
    "rtt": "90.18" /* Время между двумя пакетами */
  },
  "request": { 
    "user-agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36", /* User-Agent */
    "referer": "https://kill-bot.net/", /* Реферер */
    "url": "https://kill-bot.net/" /* Запрошенный URL */
  },
  "browser": { 
    "name": "Chrome", /* Название браузера */
    "language": "en-US", /* Язык браузера */
    "webdriver": true, /* Признак автоматизации (true - бот) */
    "innerheight": 768, /* Внутренняя высота окна */
    "innerwidth": 1366, /* Внутренняя ширина окна */
    "outerheight": 768, /* Внешняя высота окна */
    "outerwidth": 1366 /* Внешняя ширина окна */
  },
  "device": { 
    "width": 1366, /* Ширина экрана */
    "height": 768, /* Высота экрана */
    "os": "Mac OS X", /* Операционная система */
    "gc": "ANGLE (NVIDIA, NVIDIA GeForce GT 710 (0x0000128B) Direct3D11 vs_5_0 ps_5_0, D3D11)"     
  }
}

UserID — твой цифровой след

UserID — не кука, это уникальный идентификатор пользователя, который генерируется из всего доступного браузерного окружения (разрешение экрана, языков, расширений, ОС, версий и т.д.). Это идентификатор который будет одинаковым для одного браузера вне зависимости от того, какой сайт ты посещаешь, используешь ли ВПН или режим инкогнито.

Посмотреть свой уникальный UserID и другие параметры можно по ссылке:

https://killbot.ru/waf/myUserID

К чему будут стремиться браузеры в будущем?

Браузеры заботятся о приватности и анонимности пользователей, поэтому в будущем они будут устроены так, что собранный по нему UserID не будет уникальным. Сейчас браузеры сильно различаются по структуре, привязке к железу и версиям, из-за чего можно построить достаточно уникальный UserID. Т.е. сейчас если вы используете какое либо браузерное антидетект расширение, то вы просто в маске - как в примере выше. В будущем браузеры это исправят (я бы закрыл это, если был бы разработчиком браузера). А сейчас, при использовании антидетект расширений твой UserID будет ещё более уникальным — так себе результат.

Сам факт анонимности ЕЩЁ не преследуется, т.е. нет нарушения за:

  • Посещение социальной сети Цукерберга для личного использования (просмотр ленты, сторис и пр.) – не является правонарушением.

  • Ни административной, ни уголовной ответственности за сам факт входа или просмотра контента обычным пользователем не предусмотрено.

  • РАССЛАБЬСЯ: Посещение порносайта, даже если он заблокирован, не наказуемо законом.

Ответственность грозит только: за публичную рекламу, продвижение, либо администрирование заблокированного ресурса.

Насколько уникален твой UserID

Пост об уникальности UserID — насколько именно он уникален и как сделать свой UserID менее уникальным (чтобы сливаться с массой) я выложу в своем телеграмм канале следующим постом.

Как выявить UserID, VPN, ботов и другой грязный трафик

Это последний пост в моем телеграмм канале (пример правила на php), поэтому подписывайтесь, чтобы оставаться уникальным.