Vazamento de 'Manual' Revela Métodos para Detectar VPNs e Proxies em Dispositivos de Usuários
Um documento vazado supostamente do Ministério da Transformação Digital da Rússia detalha técnicas para identificar o uso de VPNs e proxies em dispositivos de usuários. O 'manual' propõe uma abordagem em três etapas para detectar e potencialmente bloquear o acesso de usuários que utilizam essas ferramentas para contornar restrições.
MundiX News·14 de abril de 2026·7 min de leitura·👁 2 views
Um documento intitulado "Metodologia para Identificar Sinais de Uso de Ferramentas de Contorno de Bloqueio em Dispositivos de Cliente" foi divulgado no canal do Telegram "Sindicato dos Trabalhadores de TI". Acredita-se que este seja o 'manual' que o RBC relatou recentemente estar sendo distribuído.
O Ministério da Transformação Digital da Rússia supostamente enviou o 'manual' para as maiores empresas de internet russas após uma série de reuniões com representantes de mais de 20 grandes empresas russas (Sber, Yandex, VK, Wildberries, Ozon, Avito, X5 e outras). Nessas reuniões, o chefe do departamento, Maksut Shadaev, instruiu as empresas a restringir o acesso aos serviços para usuários com VPNs ativadas até 15 de abril.
A autenticidade deste documento não foi confirmada oficialmente, mas o conteúdo corresponde ao que as fontes da RBC descreveram anteriormente. A metodologia descrita no documento propõe um esquema de três etapas para detectar VPNs e proxies:
Primeira etapa (Servidor): A empresa analisa o endereço IP externo da sessão do cliente, verifica com um banco de dados GeoIP, determina o ASN e o atributo de hospedagem e, em seguida, verifica com listas de reputação de serviços VPN, proxies abertos e nós de saída Tor. O sistema RANR (Registro de Recursos de Endereços e Números) é especificado como o banco de dados principal, mas MaxMind e IP2Location podem ser usados antes de seu lançamento. Se o endereço apareceu anteriormente em listas de serviços VPN ou foi associado ao Tor, isso é considerado um sinal de desvio, independentemente da geografia do dispositivo. Identificadores de estação base (PLMN), BSSIDs de pontos Wi-Fi e GPS (com o consentimento do usuário) são sugeridos como fontes auxiliares de geolocalização.
Segunda etapa (Dispositivos Móveis): Verificações realizadas diretamente em dispositivos móveis executando Android e iOS. Os autores do documento estimam que essas plataformas respondem por cerca de 80% dos aplicativos que podem ser usados para essa detecção. Para Android, a metodologia descreve o trabalho por meio das APIs do sistema ConnectivityManager e NetworkCapabilities sem qualquer root: o aplicativo extrai os flags IS_VPN, TRANSPORT_VPN, VpnTransportInfo e examina o transporte da rede ativa. No Android 12+, também é proposto o uso de dumpsys vpn_management, que fornece uma lista de VPNs ativas com nomes de pacotes. O exemplo no documento apresenta io.github.romanvht.byedpi, ou seja, ByeDPI. Para detectar proxies, é recomendável analisar as configurações do sistema e comparar as portas com intervalos típicos: SOCKS (1080, 9000, 5555, 16000–16100), HTTP (80, 443, 3128, 8080, 8888 e outros), proxies transparentes e Tor (9050, 9051, 9150). No iOS, as opções são mais limitadas devido ao isolamento do aplicativo e à política de privacidade da Apple. A análise direta de sinais de contorno de bloqueios está disponível apenas se o próprio aplicativo criar uma configuração VPN. Para análise de proxy, a metodologia sugere usar CFNetworkCopySystemProxySettings(), verificar a chave __SCOPED__ para interfaces utun, tap, ppp, ipsec, conectar NWPathMonitor para rastrear alterações de rede e, em alguns casos, NEVPNManager (mas apenas com os entitlements apropriados). O iCloud Private Relay não deve ser automaticamente considerado uma VPN proibida, embora permita contornar os bloqueios. Requer lógica separada.
Terceira etapa (Desktops): Análise de interfaces de rede, tabelas de roteamento, configurações de DNS e valores de MTU (que geralmente não são padrão em interfaces de túnel, como 1350 ou 1400) em Windows, macOS, Linux e UNIX. Nomes de interface característicos (tun, tap, wg, utun, ppp) são mencionados como sinais indiretos de contorno de bloqueios. Para Windows, as chamadas RasEnumConnection, GetAdaptersAddresses, verificação de IfType = IF_TYPE_PROP_VIRTUAL e análise de registro são descritas separadamente. Para macOS, getifaddrs(), Transparent Proxy API e Network Extensions são mencionados. No entanto, os autores da metodologia enfatizam que esses sinais por si só são insuficientes.
As seções finais mencionam abordagens mais exóticas, como o método SNITCH (Server-side Non-intrusive Identification of Tunnelled Characteristics), que mede o RTT entre o servidor e o cliente e procura atrasos anormalmente altos para a geolocalização IP declarada: o tráfego que passa por uma VPN inevitavelmente criará milissegundos extras. A análise dos cabeçalhos HTTP X-Forwarded-For, Forwarded e Via também é mencionada, pois podem revelar o tráfego que passa por um proxy (embora com a ressalva de que esses cabeçalhos são legitimamente formados pelas próprias CDNs).
Um capítulo separado do documento é dedicado a falsos positivos. O sistema pode ser facilmente enganado por uma VPN corporativa, um antivírus com seu próprio filtro de rede, Docker, WSL2, Hyper-V, VirtualBox e outros ambientes de virtualização, NAT, bem como CDNs que distorcem a geolocalização sem qualquer contorno de bloqueio.
Também é notado que a detecção do uso de VPN e outros meios de contorno é dificultada se:
A VPN for configurada em um roteador (não há rastros no próprio dispositivo).
Proxies residentes com endereços IP de provedores domésticos comuns forem usados.
O modo split tunneling for usado ou se estivermos falando de novos serviços VPN que aparecem mais rápido do que os bancos de dados de reputação são atualizados.
O documento propõe uma matriz de tomada de decisão: um único sinal positivo não é suficiente e o veredicto "contorno detectado" é emitido apenas quando os resultados de uma série de verificações coincidem. Uma 'whitelist' será fornecida para soluções corporativas e, em casos controversos, é proposto combinar os resultados com dados de GPS, informações de torres de celular e histórico de autenticação.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um documento intitulado "Metodologia para Identificar Sinais de Uso de Ferramentas de Contorno de Bloqueio em Dispositivos de Cliente" foi divulgado no canal do Telegram "Sindicato dos Trabalhadores de TI". Acredita-se que este seja o 'manual' que o RBC relatou recentemente estar sendo distribuído.
O Ministério da Transformação Digital da Rússia supostamente enviou o 'manual' para as maiores empresas de internet russas após uma série de reuniões com representantes de mais de 20 grandes empresas russas (Sber, Yandex, VK, Wildberries, Ozon, Avito, X5 e outras). Nessas reuniões, o chefe do departamento, Maksut Shadaev, instruiu as empresas a restringir o acesso aos serviços para usuários com VPNs ativadas até 15 de abril.
A autenticidade deste documento não foi confirmada oficialmente, mas o conteúdo corresponde ao que as fontes da RBC descreveram anteriormente. A metodologia descrita no documento propõe um esquema de três etapas para detectar VPNs e proxies:
Primeira etapa (Servidor): A empresa analisa o endereço IP externo da sessão do cliente, verifica com um banco de dados GeoIP, determina o ASN e o atributo de hospedagem e, em seguida, verifica com listas de reputação de serviços VPN, proxies abertos e nós de saída Tor. O sistema RANR (Registro de Recursos de Endereços e Números) é especificado como o banco de dados principal, mas MaxMind e IP2Location podem ser usados antes de seu lançamento. Se o endereço apareceu anteriormente em listas de serviços VPN ou foi associado ao Tor, isso é considerado um sinal de desvio, independentemente da geografia do dispositivo. Identificadores de estação base (PLMN), BSSIDs de pontos Wi-Fi e GPS (com o consentimento do usuário) são sugeridos como fontes auxiliares de geolocalização.
Segunda etapa (Dispositivos Móveis): Verificações realizadas diretamente em dispositivos móveis executando Android e iOS. Os autores do documento estimam que essas plataformas respondem por cerca de 80% dos aplicativos que podem ser usados para essa detecção. Para Android, a metodologia descreve o trabalho por meio das APIs do sistema ConnectivityManager e NetworkCapabilities sem qualquer root: o aplicativo extrai os flags IS_VPN, TRANSPORT_VPN, VpnTransportInfo e examina o transporte da rede ativa. No Android 12+, também é proposto o uso de dumpsys vpn_management, que fornece uma lista de VPNs ativas com nomes de pacotes. O exemplo no documento apresenta io.github.romanvht.byedpi, ou seja, ByeDPI. Para detectar proxies, é recomendável analisar as configurações do sistema e comparar as portas com intervalos típicos: SOCKS (1080, 9000, 5555, 16000–16100), HTTP (80, 443, 3128, 8080, 8888 e outros), proxies transparentes e Tor (9050, 9051, 9150). No iOS, as opções são mais limitadas devido ao isolamento do aplicativo e à política de privacidade da Apple. A análise direta de sinais de contorno de bloqueios está disponível apenas se o próprio aplicativo criar uma configuração VPN. Para análise de proxy, a metodologia sugere usar CFNetworkCopySystemProxySettings(), verificar a chave __SCOPED__ para interfaces utun, tap, ppp, ipsec, conectar NWPathMonitor para rastrear alterações de rede e, em alguns casos, NEVPNManager (mas apenas com os entitlements apropriados). O iCloud Private Relay não deve ser automaticamente considerado uma VPN proibida, embora permita contornar os bloqueios. Requer lógica separada.
Terceira etapa (Desktops): Análise de interfaces de rede, tabelas de roteamento, configurações de DNS e valores de MTU (que geralmente não são padrão em interfaces de túnel, como 1350 ou 1400) em Windows, macOS, Linux e UNIX. Nomes de interface característicos (tun, tap, wg, utun, ppp) são mencionados como sinais indiretos de contorno de bloqueios. Para Windows, as chamadas RasEnumConnection, GetAdaptersAddresses, verificação de IfType = IF_TYPE_PROP_VIRTUAL e análise de registro são descritas separadamente. Para macOS, getifaddrs(), Transparent Proxy API e Network Extensions são mencionados. No entanto, os autores da metodologia enfatizam que esses sinais por si só são insuficientes.
As seções finais mencionam abordagens mais exóticas, como o método SNITCH (Server-side Non-intrusive Identification of Tunnelled Characteristics), que mede o RTT entre o servidor e o cliente e procura atrasos anormalmente altos para a geolocalização IP declarada: o tráfego que passa por uma VPN inevitavelmente criará milissegundos extras. A análise dos cabeçalhos HTTP X-Forwarded-For, Forwarded e Via também é mencionada, pois podem revelar o tráfego que passa por um proxy (embora com a ressalva de que esses cabeçalhos são legitimamente formados pelas próprias CDNs).
Um capítulo separado do documento é dedicado a falsos positivos. O sistema pode ser facilmente enganado por uma VPN corporativa, um antivírus com seu próprio filtro de rede, Docker, WSL2, Hyper-V, VirtualBox e outros ambientes de virtualização, NAT, bem como CDNs que distorcem a geolocalização sem qualquer contorno de bloqueio.
Também é notado que a detecção do uso de VPN e outros meios de contorno é dificultada se:
A VPN for configurada em um roteador (não há rastros no próprio dispositivo).
Proxies residentes com endereços IP de provedores domésticos comuns forem usados.
O modo split tunneling for usado ou se estivermos falando de novos serviços VPN que aparecem mais rápido do que os bancos de dados de reputação são atualizados.
O documento propõe uma matriz de tomada de decisão: um único sinal positivo não é suficiente e o veredicto "contorno detectado" é emitido apenas quando os resultados de uma série de verificações coincidem. Uma 'whitelist' será fornecida para soluções corporativas e, em casos controversos, é proposto combinar os resultados com dados de GPS, informações de torres de celular e histórico de autenticação.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
