Bloqueio de desvio do Tor. Bypass de bloqueio transparente e acesso à rede Tor. O que a Duma do Estado e Roskomnadzor querem alcançar
Muitos escritórios estão bloqueando redes sociais, serviços de vídeo, compartilhamento de arquivos e sites de entretenimento há algum tempo. Alguns até bloqueiam serviços populares de anonimização. Dessa forma, os empregadores tentam forçar os funcionários a cumprir suas funções imediatas, e não gastar o tempo de trabalho com entretenimento. Neste artigo, vou contar passo a passo como nós, usuários comuns, podemos contornar esse bloqueio e desfrutar de acesso ilimitado à Internet.
Na verdade, tudo já foi inventado para nós e usaremos uma solução pronta.
Conheça o Tor.
Tor é um sistema que permite estabelecer uma conexão de rede anônima, que organiza a transferência de dados de forma criptografada. Usando Tor os usuários podem permanecer anônimos ao visitar sites, postar conteúdo, enviar mensagens e usar outros aplicativos que usam o protocolo TCP. Tecnologia Tor também oferece proteção contra mecanismos de análise de tráfego que comprometem não apenas o anonimato do usuário, mas também a confidencialidade dos dados.
Sistema Tor foi criado no laboratório de pesquisa da Marinha dos EUA sob ordem federal. Em 2002, eles decidiram desclassificar esse desenvolvimento, e os códigos-fonte foram transferidos para desenvolvedores independentes que criaram software cliente e publicaram o código-fonte sob uma licença gratuita para que todos pudessem verificar se havia bugs e backdoors.
Vamos terminar com a teoria e passar para a instalação e configuração do sistema.
Vamos para a página de download do sistema Tor, onde selecionamos a opção com a interface russa e baixamos o arquivo de instalação. O tamanho do arquivo é de cerca de 25 megabytes.
Execute o arquivo baixado, selecione o local de instalação e clique no botão Extrair
Após a conclusão da instalação, nenhum novo atalho aparecerá em nossa área de trabalho, então abrimos o diretório em que instalamos o sistema e executamos o arquivo Start Tor Browser.exe a partir dele
Uma janela do programa será aberta na qual o processo de conexão será exibido
Se sua rede acessar a Internet por meio de um servidor proxy, o processo de conexão será interrompido no estágio de criação de uma conexão criptografada
Clique no botão Configurações
Na janela que aparece, vá para a guia Rede
Configuramos tudo conforme mostrado na figura, especificando seu endereço de proxy e porta
Clique no botão Sair
Reinicie Iniciar Tor Browser.exe
Estamos aguardando uma conexão com o sistema Tor
Depois disso, você abrirá o navegador Firefox embutido no sistema, através do qual poderá visitar anonimamente qualquer site
Por que você precisa de uma VPN
Usando serviços VPN, você pode ignorar o bloqueio de sites que não funcionam na Rússia (por exemplo, Spotify). Mas essa não é a única razão pela qual eles são necessários. Trabalhadores remotos e funcionários de filiais se conectam via VPN aos serviços corporativos, portanto, não colocam em risco os dados da empresa. As pessoas que acessam a Internet em Wi-Fi público e temem que seus dados sejam interceptados também usam VPNs para se proteger de invasores.
Como funciona? Se seu computador geralmente se conecta à Internet por meio de um servidor ISP, o serviço VPN configura um túnel entre seu computador e um servidor remoto. Assim, você acessa a Internet de forma indireta. Todos os dados dentro do túnel são criptografados, de modo que o provedor e os hackers não sabem para onde você está na conexão VPN e o que está fazendo na Internet. Ao mesmo tempo, os sites não veem o verdadeiro endereço IP do seu computador, pois você está trabalhando com o endereço de outra pessoa. VPN (Virtual Private Network) cria uma rede privada segura dentro da Internet não segura.
Como será bloqueado?
Sargis Darbinyan: “Há muitas maneiras que uma pessoa pode usar: estude o problema e configure facilmente sua própria VPN, use outras soluções como Psiphon, Tor, modos turbo do navegador, plugins, compre outro serviço VPN que se preocupe com os usuários e tome medidas imediatas ”.
O que o bloqueio levará?
Artem Kozlyuk: “Praticamente todo o negócio está ligado à VPN. As redes privadas virtuais de qualquer empresa, de pequeno a grande porte, estão sob ameaça. Falhas de VPN podem ocorrer a qualquer momento devido à aplicação incorreta da nova lei. Vemos um número infinito de vezes como Roskomnadzor impõe essas leis. Em primeiro lugar, eles são escritos analfabetos do lado técnico e, em segundo lugar, no processo de aplicação da lei, Roskomnadzor está aumentando esse analfabetismo técnico para novas proporções”.
Markus Saar: “Ainda não está claro como será feita a verificação e o controle. A VPN, ao contrário do formulário de anonimizador, é uma rede fechada e, para acessá-la, você precisa adquirir uma assinatura paga e instalar o software. Além disso, alguns serviços não possuem software próprio e você precisa configurar a conexão manualmente usando arquivos de configuração, chaves e certificados. A segunda questão é quão racional é “atingir” usuários experientes em tecnologia que passaram a usar VPN, Tor e outras ferramentas. Afinal, se uma vez eles encontraram a força e o desejo de contornar a censura, eles farão isso de novo e de novo.
Sargis Darbinyan: “O bloqueio do tráfego VPN pelas operadoras de telecomunicações significa claramente um enorme dano a todo o setor corporativo, à economia digital do país e uma diminuição na segurança dos cidadãos russos no ambiente digital global diante de serviços de inteligência estrangeiros, corporações e intrusos que usar vulnerabilidades para vigilância e roubo de dados. Ninguém ainda conseguiu fechar 100% a capacidade de transmitir e receber informações via VPN, mesmo em países asiáticos e muçulmanos com regimes repressivos. Os provedores têm listas de endereços IP das VPNs mais populares, que atualizam e bloqueiam com alguma frequência. Mas o tráfego VPN também aprendeu a se camuflar. Um provedor de VPN pode criar novos endereços IP pelo menos a cada minuto (mais IPv6 sem fim), então isso se tornará cada vez mais difícil e caro.
Autoridades russas para proibir serviços para contornar o bloqueio. Isso afeta o navegador Tor, que usa falsificação de vários endereços IP, mas não é tão fácil de superar. Tor fornece proteção contra bloqueio usando as chamadas "pontes".
Como contornar o bloco Tor:
1. Inicie o navegador Tor e acesse bridges.torproject.org.
2. Clique em Obter pontes e insira os caracteres da imagem (provavelmente, não funcionará na primeira vez).
3. Copie a lista de pontes emitidas.
4. Clique no ícone do Tor à esquerda da barra de endereços e selecione "Configurações de rede do Tor".
5. Selecione "Meu provedor de serviços de Internet (ISP) bloqueia conexões com a rede Tor"
6. Clique em "Inserir pontes personalizadas".
7. Cole as pontes que você copiou anteriormente e clique em OK.
8. Reinicie o navegador Tor. Agora você pode visitar sites que foram bloqueados do Tor pelo seu ISP.
Caso não consiga acessar bridges.torproject.org, envie um e-mail com qualquer conteúdo para
E se você quiser acessar a rede sem restrições exageradas, mas não quiser substituir o proxy sempre no navegador? E se você quiser visitar sites proibidos e regulares e, ao mesmo tempo, a velocidade com que os sites regulares são abertos não sofre? E se você estiver interessado em saber o que está acontecendo em partes remotas da rede global?
Com base nessas considerações, precisamos:
- Sites normais abertos normalmente
- Sites proibidos abertos pelo Tor sem configurações
- Todos os sites na zona .onion também abrem sem configurações
Por um lado, os requisitos são contraditórios. Por outro lado, o que você não pode fazer por conveniência!
Pode-se lembrar de várias maneiras e meios de contornar o DPI, mas se você não quiser pensar em nada assim, mas quiser configurá-lo e esquecê-lo, não há análogos do Tor para resolver a tarefa em termos de fácil acesso a sites bloqueados.
Você não obterá anonimato completo seguindo apenas estas instruções. O anonimato sem medidas OPSEC não é possível. As instruções implicam apenas contornar as restrições.
O que precisamos?
Para começar, precisamos de um roteador ou de um servidor que atue como uma ponte transparente que passe todo o tráfego por ela mesma. Pode ser um servidor existente, pode ser uma caixa Raspberry Pi. Roteadores compactos comuns com Linux também podem funcionar, se, em princípio, você puder colocar os pacotes necessários neles.
Se você já possui um roteador adequado, não precisa configurar a ponte separadamente e pode.
Se a instalação do Tor no seu roteador for um problema, você precisará de qualquer computador com duas interfaces de rede e Debian Linux a bordo. Você acabará por conectá-lo à lacuna de rede entre o roteador, que olha para o mundo exterior, e sua rede local.
Se não para servidores e roteadores, talvez.
Vamos montar a ponte
Configurar uma ponte no Debian não é um problema. Você precisará do programa brctl, que está no pacote bridge-utils:
apt instalar bridge-utils
A configuração permanente da ponte é definida em /etc/network/interfaces . Se você estiver fazendo uma ponte das interfaces eth0 e eth1 , a configuração ficará assim:
# Marca interfaces como configuráveis manualmente iface eth0 inet manual iface eth1 inet manual # Bridge surge automaticamente após reinicialização auto br0 # Bridge com aquisição de IP DHCP iface br0 inet dhcp bridge_ports eth0 eth1 # Bridge com IP estático iface br0 inet bridge_ports estático eth0 eth1 address 192.168 .1.2 máscara de rede 255.255.255.0 gateway 192.168.1.1
Você precisa escolher uma configuração para a ponte: com um IP dinâmico ou estático.
Observe que neste estágio não é necessário incluir o servidor em uma quebra de rede. Você pode conviver com uma interface conectada.
Vamos pedir ao sistema para aplicar as novas configurações:
recarga de rede de serviço
Agora você pode verificar a existência da ponte com o comando brctl show:
# brctl mostra o nome da ponte id da ponte interfaces habilitadas para STP br0 8000.0011cc4433ff não eth0 eth1
Você pode visualizar o endereço IP emitido e geralmente verificar se um IP foi emitido via DHCP ou estaticamente, usando o comando ip:
# ip --family inet addr show dev br0 escopo global 4: br0:
Se tudo estiver em ordem com os endereços IP, você já pode tentar incluir o servidor em uma quebra de rede ...
No final, todos os dispositivos da sua rede, sendo incluídos através do servidor, devem ter acesso total à rede global como se não houvesse servidor entre eles e o roteador externo. O mesmo se aplica à operação do DHCP e outras coisas. Vale a pena conferir tudo isso antes de passar para a configuração do Tor.
Se algo não funcionar como antes, ou não funcionar, você deve primeiro resolver os problemas, só então passar para a configuração do próprio Tor.
Configurar o daemon Tor
A instalação do Tor é feita normalmente. Vamos também instalar o banco de dados de vinculação do país:
apt instalar tor-geoipdb
No final do arquivo de configuração /etc/tor/torrc, você precisa adicionar diretivas para habilitar a função do servidor proxy:
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300
Vamos reiniciar o Tor e verificar se o DNS em nossa configuração funciona em algum site conhecido:
# serviço para reiniciar # dig +short facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
O último comando deve gerar o IP da sub-rede 10.0.0.0/8.
Ao reiniciar, o Tor no caso jura usar um IP público para TransPort e DNSPort , que de fato pode ser acessado por pessoas de fora. Vamos corrigir esse mal-entendido permitindo apenas conexões da rede local (no meu caso é 192.168.1.0/24):
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 9040 -j ACCEPT -dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP
As duas últimas regras podem ser ignoradas se você tiver a regra DROP padrão para a cadeia INPUT.
Configure o acesso para toda a rede local
Para que todos os dispositivos da rede possam acessar sites no Tor, precisamos encaminhar todas as solicitações para a rede dedicada 10.0.0.0/8 para a porta do servidor proxy Tor integrado:
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.0/8 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p tcp -d 10.0.0.0/8 -j REDIRECT --to- porta 9040
Adicionamos duas regras para as cadeias PREROUTING e OUTPUT para que o esquema funcione não apenas nos dispositivos da rede, mas também no próprio servidor. Se esse esquema não for necessário para funcionar a partir do próprio servidor, a adição da regra à cadeia OUTPUT pode ser ignorada.
Encaminhando consultas DNS para a zona .onion
Esse problema pode ser resolvido substituindo o servidor DNS pelo seu próprio nas respostas DHCP aos clientes ou, se não for habitual usar um servidor DNS local em sua rede, interceptando todo o tráfego DNS. No segundo caso, você não precisará configurar nada, mas todos os seus clientes, incluindo você, perderão a capacidade de fazer solicitações arbitrárias a servidores arbitrários. Este é um inconveniente óbvio.
Apenas encaminharemos solicitações de DNS que mencionam o domínio.onion para a porta do servidor DNS integrado, deixando todas as outras solicitações em paz:
iptables -t nat -A PREROUTING -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300
A string mágica 056f6e696f6e00 está relacionada às peculiaridades de passar um ponto em consultas DNS: ela é transmitida como o comprimento da linha que a segue. É por isso que nossa string mágica começa com 0x05 para os cinco caracteres da palavra onion. No final da string está o byte nulo 0x00 porque o domínio raiz (ponto) tem comprimento zero.
Essa abordagem permite que seus usuários (e você mesmo) usem quaisquer servidores DNS convenientes para eles, bem como solicitem informações de qualquer servidor DNS sem intermediários. No entanto, nenhuma solicitação na zona .onion chegará à Internet aberta.
Agora tente acessar algum site popular na rede Tor a partir de qualquer dispositivo na rede local. Por exemplo, assim:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Movido permanentemente Localização: https://facebookcorewwwi.onion/
Depuração e solução de problemas
Se você quiser garantir que nenhuma solicitação de DNS para .onion vá além do servidor, sua ausência pode ser verificada assim:
ngrep -q -d br0 -q -W byline onion udp port 53
Normalmente, este comando, executado no servidor, não deve mostrar nenhum pacote - ou seja, não produz nada que você não faça.
Se o Firefox não vir .onion
Se isso o incomoda, e a perspectiva de desanonimização acidental não o incomoda (porque não permitimos mais consultas DNS para .onion na Internet aberta), você pode desabilitar essa configuração em about:config usando a chave network.dns.blockDotOnion .
Safari móvel e .onion
Aplicativos iOS, incluindo Safari e Chrome, basicamente ignoram .onion quando usados dessa maneira. Eu não sei como corrigir esse problema no âmbito de tal esquema.
Provedor substitui IP no DNS
Alguns provedores, por motivos econômicos, ao invés de bloquear sites por IP ou DPI, apenas substituem IP por solicitações de DNS de acordo com a lista de sites proibidos.
A solução mais simples para esse problema seria mudar para os servidores DNS públicos do Google. Se isso não ajudar, o que significa que seu provedor redireciona todo o tráfego DNS para seu servidor em geral, você pode alternar para o Tor DNS, redirecionando todo o tráfego para ele:
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 5300
Minha rede usa IPs de 10.0.0.0/8
Sem problemas! Em todas as diretivas acima, use alguma outra sub-rede das fornecidas para isso, excluindo as reservadas. Sério, preste atenção aos reservados.
Além disso, não é necessário usar todo o intervalo de uma só vez - você pode se limitar a uma sub-rede. Por exemplo, 10.192.0.0/10 servirá.
Ignorar o bloqueio através do Tor
Para acessar sites bloqueados pelo Tor, primeiro você precisa ter certeza de não trocar a agulha por sabão, usando nós de saída sujeitos às mesmas restrições que você devido à localização geográfica. Isso pode ser feito especificando em torrc os nós de saída nos quais os países não podem ser usados.
ExcludeExitNodes (RU), (UA), (BY)
Atualizando o registro
O registro não fica parado e a lista de sites bloqueados é reabastecida. Portanto, você precisa baixar a lista real de IPs de tempos em tempos e adicioná-la ao ipset . A melhor maneira de fazer isso não é baixar a lista inteira de cada vez, mas baixar apenas as alterações, por exemplo, daqui no GitHub .
#!/bin/bash set -e mkdir -p /var/local/blacklist cd /var/local/blacklist git pull -q || git clone https://github.com/zapret-info/z-i.git . ipset flush blacklist tail +2 dump.csv | corte -f1 -d\; | grep-Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/blacklist/blacklist.txt | xargs -n1 ipset adicionar lista negra
É possível remover e adicionar apenas IPs que foram alterados na lista, para os quais você pode precisar git whatchanged .
Se o script acima for adequado para você, ele deve estar em /etc/cron.daily/blacklist-update . Não se esqueça de dar permissões de execução a este arquivo.
chmod +x /etc/cron.daily/blacklist-update
Salvar configurações
apt install iptables-persistent
dpkg-reconfigure iptables-persistent
Infelizmente, ainda não existe um pacote tão conveniente para o ipset, mas esse problema é resolvido pelo script /etc/network/if-pre-up.d/ipset:
#!/bin/sh ipset -exist cria hash de lista negra :ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist blacklist
Certifique-se de dar a este script o direito de execução:
chmod +x /etc/network/if-pre-up.d/ipset
Na próxima reinicialização, esse script será executado e restaurará a lista de IPs bloqueados.
Se você esquecer dos servidores...
Ok, diga-me, e se eu quiser ter o mesmo acesso conveniente ao .onion , mas sem servidores - localmente, no mesmo computador?
Sem problemas! Neste caso, tudo é ainda mais simples. Pare de adicionar essas três linhas ao torrc:
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300
Então essas duas regras para o iptables:
iptables -t nat -A OUTPUT -p tcp -d 127.192.0.0/10 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string " |056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300
E você pode verificar. O acesso a sites bloqueados é configurado de acordo com as instruções acima.
Uma colher de alcatrão
Apesar de sua simplicidade e conveniência, essa abordagem herda algumas das deficiências da rede Tor.
Você acessa sites proibidos na rede em nome de nós de saída, que dá aos administradores de nós de saída a capacidade fundamental de observar seu tráfego e suas senhas se o site de destino não estiver criptografado (deve ser https no início do endereço ou um cadeado verde 🔒 na barra de endereço).
Seria de esperar que os administradores de tais sites não o seguissem para uma boa noite de sono, mas...
Se você acessar um site por uma conexão insegura, seja através do Tor diretamente, você deve sempre ter em mente que seus logins e senhas basicamente pode acabar em uma pasta com cartas na mesa de uma pessoa uniformizada.
Isso é tudo!
Algo ainda não está claro? Há algo que você precisa consertar ou há algo que você gostou particularmente? Escreva abaixo nos comentários.
Com tal iniciativa, a internet gratuita está ficando menor diante de nossos olhos. Ao mesmo tempo, a maioria dos usuários tem certeza de que o Tor e a VPN não podem ser limitados de forma alguma. Pedimos a Mikhail Lisnyak, o criador do Zenrus, um serviço meditativo para rastrear cotações de moedas e preços do petróleo, e professor da Moscow Coding School, cujas matrículas começaram hoje, conselhos sobre esse assunto.
VPN - em poucas palavras - é a criação de uma rede virtual em cima de outra rede, como a nossa Internet. Ou seja, é criado um canal criptografado entre o usuário e o servidor VPN, por meio do qual o usuário se conecta a outra rede, e acontece que uma pessoa de Moscou acessa a Internet como se fosse, por exemplo, de Amsterdã. Estamos agora considerando uma das opções de VPN, que se refere ao newsbreak, em geral existem muitos outros tipos e aplicativos diferentes, mas os princípios de seu trabalho são absolutamente os mesmos.
Tor é um sistema de roteamento baseado em criptografia e uma rede distribuída de nós intermediários (eles também podem ser usuários regulares do Tor). Ao se conectar ao Tor, o cliente coleta uma lista de nós intermediários disponíveis, seleciona vários deles e criptografa cada pacote enviado por sua vez com as chaves dos nós selecionados. Além disso, este pacote criptografado com várias chaves é enviado para o primeiro nó intermediário (entrada). Esse nó descriptografa sua chave e envia o pacote mais adiante, o segundo nó descriptografa sua própria chave e assim por diante. No final, o último nó descriptografa a última "camada" e envia o pacote para a Internet. Você pode imaginar isso como uma cebola, da qual cada nó subsequente remove uma camada. Na verdade, é assim que o Tor significa - The Onion Routing, ou seja, "roteamento de cebola". Como quase todo o caminho do pacote é criptografado e ninguém, exceto o nó de entrada, conhece o remetente do pacote, o sistema garante o anonimato e a segurança do tráfego.
Mas você pode impedir que o Tor funcione. Primeiro, o cliente Tor deve de alguma forma obter uma lista de nós de entrada. Para fazer isso, o cliente se conecta ao registro raiz desses nós. Se você bloquear o acesso a esse servidor raiz, o cliente não poderá obter uma lista de nós de entrada da rede e, naturalmente, não poderá se conectar à rede. Existe uma maneira manual de receber nós (por exemplo, via correio), mas isso, em primeiro lugar, não é muito conveniente e, em segundo lugar, se os endereços desses nós forem encontrados pelas autoridades de supervisão, eles ainda poderão ser bloqueados imediatamente.
Além disso, existe um sistema como DPI - um sistema de análise e filtragem de pacotes. Agora, gradualmente, esse sistema está sendo introduzido na Rússia pelos provedores. É bastante caro, então nem todos os provedores o usam. Mas isso é por enquanto. Eu acho que em um futuro próximo todos os provedores de backbone irão instalá-lo. Esse sistema pode analisar o tráfego em nível baixo, determinar o tipo desse tráfego (mesmo criptografado, mas sem receber o conteúdo propriamente dito), filtrá-lo e, se necessário, bloqueá-lo. Agora, esses sistemas já são capazes de detectar o tráfego Tor por determinados critérios. O Tor, em resposta, criou um sistema de mascaramento de tráfego (obfsproxy), mas aos poucos eles estão aprendendo a determiná-lo. E usar tudo isso está se tornando cada vez mais difícil para o usuário médio.
Se as autoridades quiserem, vão bloquear tudo para a grande maioria dos usuários. Geeks particularmente teimosos poderão encontrar brechas, mas para o usuário médio isso não é uma opção.
Ou seja, o Tor pode ser banido em todo o país usando o mesmo DPI. Quando eles introduzirem a responsabilidade criminal pelo uso de tal software, eles rapidamente realizarão vários julgamentos-espetáculo, e este será o fim do grosso. Ainda não há substitutos sensatos para o Tor. O mesmo i2p é banido da mesma forma. Agora bloquear o Tor não é fácil, caro, mas bastante viável se o estado realmente quiser.
Em geral, tudo já foi inventado e usado, por exemplo, na gloriosa China. Hosts conhecidos são bloqueados, o tráfego é analisado por DPI e determinados pacotes são bloqueados (e as informações do remetente são enviadas para o local certo). Além disso, existe um sistema de “conexão direta”, quando um pacote suspeito é “suspenso” para algum servidor do Great Firewall, e o próprio firewall faz a mesma solicitação para este servidor e analisa a resposta. E então, de acordo com vários critérios, é determinado se é possível ou não.
Se as autoridades quiserem, vão bloquear tudo para a grande maioria dos usuários. Obviamente, os geeks especialmente teimosos poderão encontrar brechas, serão cobertos, haverá novas brechas - esse é um processo eterno, como acontece com vírus e antivírus. Mas para o usuário médio, isso não é uma opção. Além disso, sempre há a oportunidade de introduzir listas brancas ou simplesmente fechar completamente toda a Internet externa. Mas espero que não chegue a isso.
