Новый механизм слежки: разбор постановления Роскомнадзора
Всех приветствуем, друзья! На этот раз, как и обещали — разбор нового постановления Роскомнадзора
Какие данные теперь обязаны собирать операторы и провайдеры, как это дополняет ранее принятые законы, и какой объём информации о пользователях уже передаётся государственным структурам. Также разберёмся, кому на практике стоит опасаться этой системы, а кто может даже не обращать на неё внимания. Поясним, как работает механизм технического контроля, почему он не рассчитан на тотальную слежку за всеми, и какие существуют способы защитить себя от избыточного мониторинга со стороны государства.
Что добавляет новое постановление Роскомнадзора
- Подключения к обходным средствам (VPN, Tor, прокси)
Фиксируется сам факт использования туннелирующих решений. Распознаются типы соединений (OpenVPN, WireGuard, HTTPS-туннели), записываются IP-адреса конечных точек и используемые порты. По этому пункту всё не так однозначно, но об этом позже
- Расширенный сбор сетевых метаданных
IP-адрес пользователя и ресурса, протоколы, номера портов, время начала и окончания сессии, объём трафика, даже неудачные попытки подключения.
DNS-запросы
Сбор информации о доменах, к которым обращается пользователь, IP-ответах DNS-сервера и времени каждого запроса (если не используется DNS over HTTPS/TLS).
Поведение приложений и устройств
Какие домены запрашивают приложения, как часто, с каким трафиком, и в какое время.
Цифровой отпечаток устройства (fingerprinting)
Заголовки браузера, параметры системы, особенности соединения. По этим данным можно создать уникальный профиль устройства. Модель, ОС, браузер.
Технические характеристики соединения
MAC-адрес (уникальный сетевой идентификатор устройства), IMSI / IMEI, информация о точке входа (роутер, Wi-Fi), геопозиция по базовым станциям
Аномальные шаблоны поведения
Частые попытки подключения к недоступным серверам, DNS-запросы к запрещённым ресурсам, нетипичная нагрузка.
Геолокация пользователя
Через базовые станции, Wi-Fi, IP-геолокацию. Местоположение связывается с временем подключения и используемыми сервисами.
Что же из этого следует?
Новое постановление усиливает контроль не только за сетевым поведением, но и за физическим перемещением пользователя. Теперь все ключевые параметры — от IP-адресов и DNS-запросов до геолокации и цифрового отпечатка устройства — подлежат обязательному логированию провайдерами и операторами связи.
Геолокация в связке с идентификаторами устройств и типичными точками входа (мобильный интернет, Wi-Fi, стационарный провайдер) позволяет установить не просто цифровой профиль, а фактическое местонахождение пользователя в реальном времени или ретроспективно.
Формируется конкретный «портрет» пользователя: кто он, чем пользуется, куда подключается, и насколько он выбивается из типичного поведения.
🧩 Как это работает на практике — упрощённый сценарий
Допустим, есть пользователь — условный Василий Васечкин.
Он:
- ежедневно подключается к интернету с одного и того же устройства с характерным MAC-адресом;
(MAC-адрес - это уникальный идентификатор, который присваивается сетевому адаптеру устройства (например, Wi-Fi или Ethernet-модулю)). Другими словами, в случае необходимости у силовиков будет четкий портрет, кто вы, где живете, какими устройствами пользуетесь, с кем сожительствуете и так далее.
- живёт в районе, определяемом по базовым станциям и Wi-Fi точкам;
- запускает на телефоне приложения, обменивающиеся данными с доменами вроде torproject.org, signal.org и альтернативными новостными платформами;
- делает DNS-запросы к запрещённым IP-адресам, минуя фильтрацию
📌 Как из этого формируется портрет:
- Каждый сеанс связи логируется — с указанием IP, MAC, геопозиции, DNS, объёма трафика, доменов.
- Данные попадают в централизованную систему, где обрабатываются автоматически — через DPI и СОРМ-инфраструктуру.
- По совокупности признаков создаётся поведенческий профиль.
- Этот профиль привязывается к устройству и месту жительства. Если необходимо — к имени, через SIM-карту, Wi-Fi авторизацию, регистрацию в госуслугах, и т. д.
📡 Что такое DPI и COPM
**DPI (Deep Packet Inspection) — это технология глубокой проверки интернет-трафика**.
Она позволяет:
- анализировать содержимое пакетов, а не только адреса и объёмы;
- определять, какие сайты и сервисы использует пользователь (вплоть до отдельных приложений);
- распознавать обходы, такие как VPN, Tor, прокси, и даже зашифрованный трафик по характеру поведения - именно так и выявляют со временем новые протоколы, которые по итогу блокируют. В китае, например, таким образом выявляют и блокируют обфусцированные Shadowsocks/V2Ray конфигурации, которые не совпадают с обычным HTTPS-трафиком;
- применять фильтрацию, блокировку или маркировку трафика на лету.
DPI установлен у провайдеров по требованию государства и работает незаметно для пользователя.
СОРМ (Система Оперативно-Розыскных Мероприятий) — это государственная система перехвата и хранения информации. Она делится на несколько уровней:
- СОРМ-1 — контроль телефонии (звонки, SMS);
- СОРМ-2 — контроль интернет-трафика и логинов;
- СОРМ-3 — централизованная система с возможностью автоматического профилирования и анализа больших массивов данных.
💬 Проще говоря:
DPI — сканирует, распознаёт, сортирует.
СОРМ — собирает, хранит, отдаёт при необходимости.
Что мы имеем по итогу?
Если вспомнить, нашумевший относительно недавно закон "Яровой", то становится понятно, что техническая и правовая основа для массового сбора и хранения данных была заложена ещё в 2016 году. Тогда операторы связи обязались хранить метаданные и сам трафик пользователей, а также передавать их по запросу спецслужб. Этот закон стал отправной точкой для создания масштабной системы наблюдения.
Новое постановление Роскомнадзора не создаёт что-то принципиально новое — оно лишь расширяет и дополняет уже действующую инфраструктуру. Теперь к накопленным данным добавляется более глубокий поведенческий анализ, фиксация попыток анонимизации, активное распознавание VPN, TOR и прокси, а также сбор цифровых отпечатков и геолокации.
📌 В результате у государства есть всё необходимое, чтобы:
- сформировать уникальный профиль каждого пользователя,
- установить его местоположение и поведенческие привычки,
- определить, какие сервисы он использует и насколько "аномальной" кажется его активность,
- а в случае необходимости — быстро привязать эту информацию к конкретному человеку через SIM-карту, Wi-Fi, MAC-адрес, учётную запись или даже платежи.
Повод для беспокойства или ложная тревога?
Сегодня VPN в России использует практически каждый: для доступа к YouTube, Instagram, Google Docs, рабочих сервисов. Но, как показывает практика, если конкретные IP-адреса VPN-сервисов или характерные признаки определённых протоколов становятся известны Роскомнадзору — они оперативно попадают под блокировку.
Тем не менее, неидентифицированные протоколы и обфусцированные VPN-соединения остаются невидимыми для DPI и СОРМ. Пока соединение не распознано — оно не попадает в категорию “обходного” трафика и логируется как обычный HTTPS. Но здесь есть важный нюанс: все сессии по-прежнему записываются в рамках закона Яровой — IP, порты, объёмы трафика, временные метки.
А значит, если в будущем Роскомнадзор или силовые структуры опознают новый тип VPN или способ маскировки, то они могут ретроспективно проанализировать архивные логи и выявить, кто, когда и как часто пользовался обходными средствами. Такая отложенная распаковка информации становится одним из самых опасных аспектов системы, особенно для тех, кто рассчитывает на анонимность «здесь и сейчас».
Важный нюанс
Сама система, какой бы мощной она ни была на бумаге, реализуется в условиях перегруженных операторов, нехватки специалистов и коррупции на всех уровнях. Многие провайдеры ещё с пакета Яровой перегружены требованиями по хранению данных, а теперь на них ложится ещё и нагрузка по углублённому мониторингу.
Кроме того, техническое исполнение часто ограничивается формальной установкой оборудования и передачей логов «для отчётности», а не реальной работой аналитических алгоритмов. Особенно в регионах.
Так кому действительно стоит переживать?
Обычные пользователи, не нарушающие закон, могут быть относительно спокойны. Но при этом стоит понимать: если кто-то из силовиков захочет до вас «дотянуться» — техническая база для этого уже есть.
Политические активисты, журналисты, правозащитники — да, находятся в зоне риска. Продавцы наркотиков, торговцы доступами и прочие DarkNet-деятели — также в зоне риска. Причём в большей степени — не из-за использования Tor, а из-за плохой цифровой гигиены:
- одни и те же устройства,
- отсутствие изоляции по оборудованию,
- отсутствие полноценной анонимизации на уровне сети и поведения
Как защитить себя от слежки
- Изоляция: раздельные устройства
Никогда не совмещайте личную и чувствительную активность на одном и том же смартфоне или ноутбуке.
Используйте отдельное устройство (например, дешевый телефон или ноутбук) только под VPN/Tor, без входа в личные аккаунты, Google, почту и т.д.
- Чистые SIM-карты и Wi-Fi
SIM-карта не должна быть оформлена на вас, роутер следует использовать только для работы. Роутер желательно с возможностью смены MAC-адреса.
- Хороший VPN с маскировкой (Obfuscation)
Используйте протоколы с обфускацией. Если вы DarkNet-деятель, то это обязательно.
- Используйте Tor правильно
Не запускайте Tor вместе с обычными приложениями, не логиньтесь в свои аккаунты. В целом, лучше бы использовать хотя бы Tails, в данной ОС все идентификаторы подменяются после каждого перезапуска.
Как это должно выглядеть в идеале?
- Отдельный роутер (или смартфон в режиме точки доступа);
- SIM-карта иностранного оператора, работающая в международном роуминге (желательно вне стран СНГ);
- На этом устройстве настроен VPN-клиент, который автоматически поднимается при старте.
В целом, на этом всё. Всех благодарим за уделенное на прочтение время. Если будут какие-то вопросы, то можете смело их задавать в комментариях к посту!)