Hospedeiros vs. VPN: O que realmente escondem as emendas "Antifraude 2.0"?
Uma análise das novas emendas "Antifraude 2.0" na Rússia, que obrigam provedores de hospedagem a restringir o acesso para usuários de VPNs, e suas potenciais implicações para empresas, usuários e a liberdade na internet. O artigo explora os desafios técnicos e econômicos dessa medida, além de discutir o crescente controle sobre o tráfego internacional e o uso de VPNs no país.
MundiX News·18 de abril de 2026·10 min de leitura·👁 10 views
Olá a todos, no meu artigo anterior, explorei o tema das VPNs e do "tráfego estrangeiro" e, para minha surpresa, ele alcançou o primeiro lugar na seção de artigos mais populares do dia no Habr. E aconteceu que vi notícias sobre as novas emendas "Antifraude 2.0", que novamente dizem respeito às VPNs. Há uma certa "atração" não saudável por VPNs na mídia ultimamente.
Bem-vindos à nova realidade
Vale a pena repassar brevemente as notícias para que você esteja ciente do que eles decidiram aprontar novamente lá em cima.
No pacote "Antifraude 2.0", para a segunda leitura na Duma Estatal, foram introduzidas emendas que obrigam os provedores de hospedagem a restringir o acesso para os proprietários de serviços VPN. Novamente, esta ainda não é uma lei, MAS o sabor já está lá.
Pode parecer algo distante e improvável, mas a experiência mostra: quando emendas "impopulares" aparecem antes da segunda ou terceira leitura, isso significa que as decisões já foram tomadas. Podemos traçar um paralelo com histórias anteriores: o limite de 15 GB foi mencionado pouco antes de 1º de maio, e agora vemos como marketplaces e bancos estão verificando se você tem uma VPN ativada.
Na verdade, analisei as últimas notícias no meu artigo anterior...
A emenda é simples: "os provedores de hospedagem são obrigados a verificar se seus clientes estão na lista de infratores e negar serviços àqueles que fornecem acesso a informações proibidas no território da Federação Russa".
Hospedeiros: de intermediários a controladores
Os provedores de hospedagem são empresas que nos alugam servidores, máquinas virtuais, espaço em disco. Ao contrário dos operadores de internet, eles não transmitem tráfego. Até agora, os hospedeiros eram intermediários técnicos: eles fechavam os olhos para o que estava acontecendo dentro de nossos VPSs, até receberem uma notificação do RKN ou das autoridades policiais. Agora, um novo papel é adicionado: eles terão que verificar os clientes nas listas do Roskomnadzor e garantir que ninguém "forneça acesso a sites bloqueados".
O que inevitavelmente levará a um aperto na oferta e a uma interação mais estreita com o regulador. O hospedeiro terá que verificar o IP do cliente com as blacklists, certificar-se de que ele está cumprindo as instruções e, caso contrário, desligar o serviço.
E como sempre, se estamos apertando alguma coisa, isso requer equipamentos especializados, que a maioria dos hospedeiros não tem, e sua compra exigirá investimentos adicionais, o que, por sua vez, levará a um aumento de preços.
Por favor, note: não estamos falando de uma proibição total de VPNs. O secretário de imprensa do presidente, Dmitry Peskov, repete que nenhuma responsabilidade pelo uso de VPNs ainda é prevista. Mas já entendemos imediatamente que não é bem assim: se o hospedeiro rescindiu o contrato com você porque você levantou seu OpenVPN em um VPS, o quão mais fácil é para você o fato de que "a VPN é legal"?
"Antifraude 2.0" e seus satélites
A própria emenda faz parte de um enorme pacote "Antifraude 2.0". Ele contém dezenas de medidas, e a luta contra as VPNs é apenas uma delas. Entre as iniciativas: um limite de 15 GB de tráfego internacional, após o qual é proposto cobrar por cada gigabyte; marcação de chamadas internacionais; identificação obrigatória de assinantes; criação de SIM cards infantis; proibição de hospedar PBXs virtuais no exterior; bloqueio de sites de phishing sem julgamento; um registro unificado de códigos IMEI e cartões bancários; um botão de "pânico" para congelar sua conta em caso de suspeita de fraude.
Enquanto os legisladores discutem, as empresas já estão implementando algumas recomendações. Desde março, os maiores serviços ("Sber", "Yandex", VK, Ozon, Wildberries e outros) começaram a verificar se o usuário tem uma VPN ativada: se sim, o acesso é restrito e eles pedem para desligar a VPN. As operadoras MTS e Beeline desativaram o pagamento do Apple ID da conta - um obstáculo extra para comprar uma assinatura de VPN. Dezenas de clientes VPN estão sendo removidos da App Store russa, e o projeto Apple Censorship conta centenas de aplicativos removidos.
Tenho uma ideia de escrever um artigo sobre serviços VPN que, por algum motivo, não desaparecem da App Store. Acho que todos entendem - há algo de errado ali.
E ainda em uma reunião fechada, com o já conhecido por muitos, Maksut Shadaev, as operadoras concordaram em não expandir os canais de comunicação internacionais sem o consentimento do Ministério da Transformação Digital. De acordo com a RBC, cerca de vinte empresas assinaram uma moratória na introdução de novas linhas em direção à Europa, esperando que os canais sobrecarregados façam com que o tráfego VPN "sufoque". Assim, eles querem provocar as operadoras a filtrar o tráfego ou aumentar os preços para desencorajar o download de conteúdo estrangeiro. O departamento chama isso de "filtro econômico" - uma bela palavra para a ideia de "cortaremos os canais para que doa em você".
Diretrizes para detectar VPNs e realidades tecnológicas
Já explorei este tópico. Aqui, explicarei brevemente os princípios para aqueles que não querem ler o artigo anterior. Todos os outros podem seguir o link no final do artigo e ler o artigo sobre tráfego "estrangeiro".
Em abril, as empresas receberam diretrizes metodológicas: primeiro, a empresa analisa os endereços IP dos usuários, verificando-os com um banco de dados de endereços russos e uma lista de IPs bloqueados. Se o país não for a Rússia ou o endereço estiver na blacklist - uma verificação adicional é necessária. Na segunda etapa, o aplicativo no dispositivo deve verificar se os clientes VPN estão instalados. Com isso, de acordo com o Ministério da Transformação Digital, existem grandes problemas no iOS: os aplicativos são isolados e não se veem. Na terceira etapa, as empresas são aconselhadas a analisar a conexão em desktops - mas a diretriz avisa imediatamente: uma VPN em um roteador ou em uma máquina virtual permanecerá invisível; proxies com IPs "domésticos" e split-tunneling também contornam a verificação. E não se esqueça que o monitoramento contínuo descarrega a bateria e o tráfego, então o Ministério da Transformação Digital não recomenda realizá-lo.
E como você entende, dizer com certeza que um determinado usuário tem uma VPN não é uma tarefa fácil, então muitos podem observar que é mais fácil para os serviços bloquear entradas de quaisquer endereços IP estrangeiros do que realizar qualquer análise.
Filtro econômico: congelamento de canais
A história com a moratória nos canais internacionais é um bom exemplo de como um problema técnico está sendo resolvido pela economia. De acordo com a RBC, as operadoras são obrigadas a solicitar permissão ao Roskomnadzor e ao Ministério da Transformação Digital para expandir os canais de comunicação, e essa permissão provavelmente não será concedida.
Os reguladores esperam que, quando o tráfego VPN crescer, os canais fiquem sobrecarregados e as operadoras aumentem o custo do acesso a recursos estrangeiros ou comecem a filtrar o tráfego sozinhas. O que mais assusta é que o prazo da moratória não foi determinado e algo sugere que pode se tornar permanente.
Impacto nos negócios e nas pessoas comuns
A maioria dos leitores dirá: "Eu não vendo VPNs, não me importo". Mas os desenvolvedores implantam contêineres na nuvem, os administradores mantêm servidores de teste, as startups alugam VDS na Rússia. As VPNs corporativas permitem que você se conecte com segurança a sistemas internos, especialmente na era do trabalho remoto. A emenda transforma o hospedeiro em um chefe de segurança: ele deve entender que você está levantando uma VPN para trabalho remoto, e não para contornar o bloqueio. Mas como fazer isso, se até os especialistas do RKN reconhecem: é quase impossível distinguir uma VPN "legal" de uma comum!
O FSB e o Ministério da Transformação Digital estão discutindo medidas ainda mais duras: as empresas que não conseguiram "garantir a segurança da informação" ou restringir o acesso de usuários com VPNs ativadas podem ter sua acreditação e benefícios de TI retirados; os produtos podem ser excluídos da lista obrigatória de software pré-instalado.
E os riscos banais de erro não desaparecem. Não há uma maneira confiável nas diretrizes de distinguir uma VPN de uma conexão de um usuário bielorrusso ou cazaque. E os serviços de entretenimento já têm medo de perder acidentalmente o público de mercados vizinhos.
Como sempre, muitas perguntas e poucas respostas
No final, quero perguntar a você, especialmente se você é um desenvolvedor/administrador/hospedeiro, você pode explicar para uma máquina DPI que seu túnel não são séries estrangeiras da HBO ou streams do Twitch, mas uma VPN corporativa, sem a qual sua contabilidade e produção, e provavelmente toda a empresa, simplesmente pararão de funcionar, cujos tempos de inatividade custarão muito dinheiro. E também quem pagará pelos novos sistemas e funcionários que verificarão as listas e monitorarão a segurança? E quanto aos projetos locais e startups que não se encaixam nos requisitos ou esperam trabalhar para um usuário global e irão para o exterior?
As porcas estão sendo apertadas, e a questão é apenas onde e quando a rosca vai quebrar. Todos nós dependemos da internet, que há muito deixou de ser "estrangeira" ou "doméstica" - é simplesmente uma rede.
Provavelmente é isso, honestamente invejo a coragem de alguns comentaristas em expressar sua opinião sobre isso, mas, por favor, vamos raciocinar com uma cabeça "fria". Isso é tudo para mim!
Muito obrigado a todos por lerem até o final, leva muito tempo e esforço mental para escrever artigos, e no momento, além da dopamina por curtidas, comentários, sou motivado a continuar escrevendo por sua reação e meu desejo de deixar meus 5 centavos na comunidade.
Se você estiver interessado em detalhes técnicos sobre DPI, limites de tráfego internacional e o que o operador vê, convido você a ler meu primeiro artigo sobre este tópico. Lá, tentei explicar em termos simples como os protocolos funcionam e como eles são capturados.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Olá a todos, no meu artigo anterior, explorei o tema das VPNs e do "tráfego estrangeiro" e, para minha surpresa, ele alcançou o primeiro lugar na seção de artigos mais populares do dia no Habr. E aconteceu que vi notícias sobre as novas emendas "Antifraude 2.0", que novamente dizem respeito às VPNs. Há uma certa "atração" não saudável por VPNs na mídia ultimamente.
Bem-vindos à nova realidade
Vale a pena repassar brevemente as notícias para que você esteja ciente do que eles decidiram aprontar novamente lá em cima.
No pacote "Antifraude 2.0", para a segunda leitura na Duma Estatal, foram introduzidas emendas que obrigam os provedores de hospedagem a restringir o acesso para os proprietários de serviços VPN. Novamente, esta ainda não é uma lei, MAS o sabor já está lá.
Pode parecer algo distante e improvável, mas a experiência mostra: quando emendas "impopulares" aparecem antes da segunda ou terceira leitura, isso significa que as decisões já foram tomadas. Podemos traçar um paralelo com histórias anteriores: o limite de 15 GB foi mencionado pouco antes de 1º de maio, e agora vemos como marketplaces e bancos estão verificando se você tem uma VPN ativada.
Na verdade, analisei as últimas notícias no meu artigo anterior...
A emenda é simples: "os provedores de hospedagem são obrigados a verificar se seus clientes estão na lista de infratores e negar serviços àqueles que fornecem acesso a informações proibidas no território da Federação Russa".
Hospedeiros: de intermediários a controladores
Os provedores de hospedagem são empresas que nos alugam servidores, máquinas virtuais, espaço em disco. Ao contrário dos operadores de internet, eles não transmitem tráfego. Até agora, os hospedeiros eram intermediários técnicos: eles fechavam os olhos para o que estava acontecendo dentro de nossos VPSs, até receberem uma notificação do RKN ou das autoridades policiais. Agora, um novo papel é adicionado: eles terão que verificar os clientes nas listas do Roskomnadzor e garantir que ninguém "forneça acesso a sites bloqueados".
O que inevitavelmente levará a um aperto na oferta e a uma interação mais estreita com o regulador. O hospedeiro terá que verificar o IP do cliente com as blacklists, certificar-se de que ele está cumprindo as instruções e, caso contrário, desligar o serviço.
E como sempre, se estamos apertando alguma coisa, isso requer equipamentos especializados, que a maioria dos hospedeiros não tem, e sua compra exigirá investimentos adicionais, o que, por sua vez, levará a um aumento de preços.
Por favor, note: não estamos falando de uma proibição total de VPNs. O secretário de imprensa do presidente, Dmitry Peskov, repete que nenhuma responsabilidade pelo uso de VPNs ainda é prevista. Mas já entendemos imediatamente que não é bem assim: se o hospedeiro rescindiu o contrato com você porque você levantou seu OpenVPN em um VPS, o quão mais fácil é para você o fato de que "a VPN é legal"?
"Antifraude 2.0" e seus satélites
A própria emenda faz parte de um enorme pacote "Antifraude 2.0". Ele contém dezenas de medidas, e a luta contra as VPNs é apenas uma delas. Entre as iniciativas: um limite de 15 GB de tráfego internacional, após o qual é proposto cobrar por cada gigabyte; marcação de chamadas internacionais; identificação obrigatória de assinantes; criação de SIM cards infantis; proibição de hospedar PBXs virtuais no exterior; bloqueio de sites de phishing sem julgamento; um registro unificado de códigos IMEI e cartões bancários; um botão de "pânico" para congelar sua conta em caso de suspeita de fraude.
Enquanto os legisladores discutem, as empresas já estão implementando algumas recomendações. Desde março, os maiores serviços ("Sber", "Yandex", VK, Ozon, Wildberries e outros) começaram a verificar se o usuário tem uma VPN ativada: se sim, o acesso é restrito e eles pedem para desligar a VPN. As operadoras MTS e Beeline desativaram o pagamento do Apple ID da conta - um obstáculo extra para comprar uma assinatura de VPN. Dezenas de clientes VPN estão sendo removidos da App Store russa, e o projeto Apple Censorship conta centenas de aplicativos removidos.
Tenho uma ideia de escrever um artigo sobre serviços VPN que, por algum motivo, não desaparecem da App Store. Acho que todos entendem - há algo de errado ali.
E ainda em uma reunião fechada, com o já conhecido por muitos, Maksut Shadaev, as operadoras concordaram em não expandir os canais de comunicação internacionais sem o consentimento do Ministério da Transformação Digital. De acordo com a RBC, cerca de vinte empresas assinaram uma moratória na introdução de novas linhas em direção à Europa, esperando que os canais sobrecarregados façam com que o tráfego VPN "sufoque". Assim, eles querem provocar as operadoras a filtrar o tráfego ou aumentar os preços para desencorajar o download de conteúdo estrangeiro. O departamento chama isso de "filtro econômico" - uma bela palavra para a ideia de "cortaremos os canais para que doa em você".
Diretrizes para detectar VPNs e realidades tecnológicas
Já explorei este tópico. Aqui, explicarei brevemente os princípios para aqueles que não querem ler o artigo anterior. Todos os outros podem seguir o link no final do artigo e ler o artigo sobre tráfego "estrangeiro".
Em abril, as empresas receberam diretrizes metodológicas: primeiro, a empresa analisa os endereços IP dos usuários, verificando-os com um banco de dados de endereços russos e uma lista de IPs bloqueados. Se o país não for a Rússia ou o endereço estiver na blacklist - uma verificação adicional é necessária. Na segunda etapa, o aplicativo no dispositivo deve verificar se os clientes VPN estão instalados. Com isso, de acordo com o Ministério da Transformação Digital, existem grandes problemas no iOS: os aplicativos são isolados e não se veem. Na terceira etapa, as empresas são aconselhadas a analisar a conexão em desktops - mas a diretriz avisa imediatamente: uma VPN em um roteador ou em uma máquina virtual permanecerá invisível; proxies com IPs "domésticos" e split-tunneling também contornam a verificação. E não se esqueça que o monitoramento contínuo descarrega a bateria e o tráfego, então o Ministério da Transformação Digital não recomenda realizá-lo.
E como você entende, dizer com certeza que um determinado usuário tem uma VPN não é uma tarefa fácil, então muitos podem observar que é mais fácil para os serviços bloquear entradas de quaisquer endereços IP estrangeiros do que realizar qualquer análise.
Filtro econômico: congelamento de canais
A história com a moratória nos canais internacionais é um bom exemplo de como um problema técnico está sendo resolvido pela economia. De acordo com a RBC, as operadoras são obrigadas a solicitar permissão ao Roskomnadzor e ao Ministério da Transformação Digital para expandir os canais de comunicação, e essa permissão provavelmente não será concedida.
Os reguladores esperam que, quando o tráfego VPN crescer, os canais fiquem sobrecarregados e as operadoras aumentem o custo do acesso a recursos estrangeiros ou comecem a filtrar o tráfego sozinhas. O que mais assusta é que o prazo da moratória não foi determinado e algo sugere que pode se tornar permanente.
Impacto nos negócios e nas pessoas comuns
A maioria dos leitores dirá: "Eu não vendo VPNs, não me importo". Mas os desenvolvedores implantam contêineres na nuvem, os administradores mantêm servidores de teste, as startups alugam VDS na Rússia. As VPNs corporativas permitem que você se conecte com segurança a sistemas internos, especialmente na era do trabalho remoto. A emenda transforma o hospedeiro em um chefe de segurança: ele deve entender que você está levantando uma VPN para trabalho remoto, e não para contornar o bloqueio. Mas como fazer isso, se até os especialistas do RKN reconhecem: é quase impossível distinguir uma VPN "legal" de uma comum!
O FSB e o Ministério da Transformação Digital estão discutindo medidas ainda mais duras: as empresas que não conseguiram "garantir a segurança da informação" ou restringir o acesso de usuários com VPNs ativadas podem ter sua acreditação e benefícios de TI retirados; os produtos podem ser excluídos da lista obrigatória de software pré-instalado.
E os riscos banais de erro não desaparecem. Não há uma maneira confiável nas diretrizes de distinguir uma VPN de uma conexão de um usuário bielorrusso ou cazaque. E os serviços de entretenimento já têm medo de perder acidentalmente o público de mercados vizinhos.
Como sempre, muitas perguntas e poucas respostas
No final, quero perguntar a você, especialmente se você é um desenvolvedor/administrador/hospedeiro, você pode explicar para uma máquina DPI que seu túnel não são séries estrangeiras da HBO ou streams do Twitch, mas uma VPN corporativa, sem a qual sua contabilidade e produção, e provavelmente toda a empresa, simplesmente pararão de funcionar, cujos tempos de inatividade custarão muito dinheiro. E também quem pagará pelos novos sistemas e funcionários que verificarão as listas e monitorarão a segurança? E quanto aos projetos locais e startups que não se encaixam nos requisitos ou esperam trabalhar para um usuário global e irão para o exterior?
As porcas estão sendo apertadas, e a questão é apenas onde e quando a rosca vai quebrar. Todos nós dependemos da internet, que há muito deixou de ser "estrangeira" ou "doméstica" - é simplesmente uma rede.
Provavelmente é isso, honestamente invejo a coragem de alguns comentaristas em expressar sua opinião sobre isso, mas, por favor, vamos raciocinar com uma cabeça "fria". Isso é tudo para mim!
Muito obrigado a todos por lerem até o final, leva muito tempo e esforço mental para escrever artigos, e no momento, além da dopamina por curtidas, comentários, sou motivado a continuar escrevendo por sua reação e meu desejo de deixar meus 5 centavos na comunidade.
Se você estiver interessado em detalhes técnicos sobre DPI, limites de tráfego internacional e o que o operador vê, convido você a ler meu primeiro artigo sobre este tópico. Lá, tentei explicar em termos simples como os protocolos funcionam e como eles são capturados.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
