Tor обхід блокування. Прозорий обхід блокування та доступ до мережі Tor. Чого хочуть добитися Держдума з Роскомнаглядом
У багатьох офісах вже давно блокують соціальні мережі, відеосервіси, файлообмінники і розважальні сайти. Дехто навіть блокує популярні сервіси-анонімайзери. У такий спосіб роботодавці намагаються змусити працівників займатися своїми безпосередніми обов'язками, а не витрачати час на розваги. У цій статті я покроково розповім, як нам, звичайним користувачам, обійти це блокування та насолоджуватися необмеженим доступом до Інтернету.
Насправді всі вже вигадали за нас і ми будемо використовувати готове рішення.
Знайомтеся – це Tor.
Tor - це система, що дозволяє встановлювати анонімне мережне з'єднання, яке організує передачу даних у зашифрованому вигляді. За допомогою TorКористувачі можуть зберігати анонімність під час відвідування веб-сайтів, публікації матеріалів, надсилання повідомлень і при роботі з іншими програмами, що використовують протокол TCP. Технологія Torтакож забезпечує захист від механізмів аналізу трафіку, які ставлять під загрозу не лише анонімність користувача, а й конфіденційність даних.
Система Torбула створена в дослідницькій лабораторії Військово-морських сил США на федеральне замовлення. У 2002 році цю розробку вирішили розсекретити, а вихідні коди були передані незалежним розробникам, які створили клієнтське програмне забезпечення та опублікували вихідний код під вільною ліцензією, щоб усі бажаючі могли перевірити його на відсутність багів та бекдорів.
З теорією на цьому закінчимо і перейдемо до встановлення та налаштування системи.
Заходимо на сторінку завантаження системи Tor, де вибираємо варіант з російським інтерфейсом і завантажуємо файл установки. Розмір файлу близько 25 мегабайт.
Запускаємо завантажений файл, вибираємо місце встановлення та тиснемо кнопку Extract
Після встановлення жодних нових ярликів у нас на робочому столі не з'явиться, тому відкриваємо каталог, в який ми ставили систему, і запускаємо з нього файл Start Tor Browser.exe
Відкриється вікно програми, в якому буде відображатися процес підключення
Якщо у вашій мережі доступ до Інтернету здійснюється через проксі сервер, то процес підключення у вас зупиниться на етапі створення шифрованого підключення
Тиснемо на кнопку Налаштування
У вікні, що з'явилося, переходимо на вкладку Мережа
Налаштовуємо все, як показано на малюнку, вказавши свою адресу проксі та порт
Тиснемо на кнопку Вихід
Заново запускаємо Start Tor Browser.exe
Чекаємо, поки відбудеться підключення до системи Tor
Після цього у вас відкриється вбудований у систему браузер Firefox, через який ви зможете анонімно відвідувати будь-які сайти
Навіщо потрібний VPN
За допомогою VPN-сервісів можна обходити блокування сайтів, які не працюють у Росії (наприклад, Spotify). Але це не єдине, навіщо вони потрібні. Віддалені працівники та співробітники філій підключаються по VPN до корпоративних сервісів, тим самим вони не ставлять дані компанії під загрозу. Люди, які виходять в інтернет через громадський Wi-Fi і бояться, що їх дані перехоплять, також використовують VPN, щоб захиститись від зловмисників.
Як він працює? Якщо комп'ютер зазвичай підключається до Інтернету через сервер провайдера, то VPN-сервіс налаштовує тунель між вашим комп'ютером і віддаленим сервером. Таким чином ви виходите в інтернет обхідним шляхом. Всі дані всередині тунелю шифруються, тому провайдер і хакери не знають, куди ви заходите під з'єднанням VPN і що робите в інтернеті. При цьому сайти не бачать дійсну IP-адресу вашого комп'ютера, оскільки ви працюєте під чужою адресою. VPN (Virtual Private Network) створює безпечну приватну мережу всередині незахищеного інтернету.
Як його блокуватимуть?
Саркіс Дарбінян: «Є безліч способів, якими може скористатися людина: вивчити питання і з легкістю налаштувати власний VPN, використовувати інші рішення, такі як Psiphon, Tor, турборежими браузерів, плагіни, придбати інший VPN-сервіс, який піклується про користувачів і вживає оперативних заходів» .
До чого призведе блокування?
Артем Козлюк: «Практично весь бізнес зав'язаний на VPN Під загрозу постають віртуальні приватні мережі будь-яких підприємств від дрібних до великих. Збої в роботі VPN можуть статися будь-якої миті через некоректну роботу з правозастосування нового закону. Ми нескінченну кількість разів бачимо, як Роскомнагляд виконує ці закони. По-перше, вони неписьменно написані з технічного боку, по-друге, у процесі правозастосування Роскомнагляд нарощує цю технічну безграмотність до нових масштабів».
Маркус Саар: «Досі не зрозуміло, як відбуватиметься перевірка та контроль VPN, на відміну форми анонімайзера, - це закрита мережу, й у доступу до неї необхідно придбати платну передплату і встановити ПЗ. Причому деякі сервіси не мають свого ПЗ, і необхідно налаштовувати підключення вручну, використовуючи конфігураційні файли, ключі та сертифікати. Друге питання – наскільки раціонально «бити» за технічно підкованими користувачами, які дійшли до використання VPN, Tor та інших інструментів. Адже якщо вони одного разу знайшли у собі сили та бажання обійти цензуру, то зроблять це знову і знову».
Саркіс Дарбінян: «Блокування операторами зв'язку VPN-трафіку однозначно означає колосальну шкоду всьому корпоративному сектору, цифровій економіці країни та зниження захищеності російських громадян у глобальному цифровому середовищі перед іноземними спецслужбами, корпораціями та зловмисниками, які використовують уразливості для стеження та викрадення даних. Закрити на 100% можливість передавати та отримувати інформацію з VPN не вдавалося ще нікому, навіть в азіатських та мусульманських країнах із репресивними режимами. У провайдерів є списки IP-адрес найпопулярніших VPN, які вони з якоюсь періодичністю оновлюють і блокують. Але VPN-трафік теж навчився маскуватися. Провайдер VPN може створювати нові IP-адреси хоч щохвилини (плюс нескінченний IPv6), тому робити це буде все складніше та дорожче».
Російська влада про заборону сервісів для обходу блокувань. Під його дію потрапляє браузер Tor, що використовує множинну заміну IP-адрес, але його не так просто здолати. У Tor передбачено захист від блокувань за допомогою так званих мостів.
Як обійти блокування Tor:
1. Запустіть браузер Tor та перейдіть на адресу bridges.torproject.org.
2. Натисніть Get bridges та введіть символи із зображення (швидше за все, вийде не з першого разу).
3. Скопіюйте список виданих мостів.
4. Натисніть іконку Tor ліворуч від адресного рядка та виберіть "Tor Network Settings".
5. Виберіть "My Internet Service Provider (ISP) блоків connections to the Tor network" ("Мій інтернет-провайдер блокує з'єднання з мережею Tor").
6. Натисніть Enter custom bridges («Ввести мости вручну»).
7. Вставте скопійовані мости раніше і натисніть OK.
8. Перезапустіть браузер Tor. Тепер ви можете відвідувати сайти, які були заблоковані у Tor вашим провайдером.
Якщо вам не вдається зайти на bridges.torproject.org, надішліть лист з будь-яким змістом на адресу
Що якщо вам хочеться ходити до мережі без надуманих обмежень, але не хочеться щоразу в браузері замінювати проксі? Що якщо ви хочете заходити і на заборонені сайти, і на звичайні, і щоб при цьому швидкість, з якої відкриваються звичайні сайти, не страждала? Що якщо вам цікаво знати, що відбувається у віддалених частинах глобальної мережі?
Виходячи з цих міркувань нам потрібно щоб:
- Звичайні сайти відкривалися як завжди
- Заборонені сайти відкривалися через Tor без налаштувань
- Всі сайти в зоні.onion також відкриваються без налаштувань
З одного боку, вимоги суперечливі. А з іншого боку, чого не зробиш заради зручності!
Можна було б згадати різні способи та засоби для обходу DPI, але якщо не хочеться ні про що таке думати, а скоріше навіть хочеться налаштувати та забути, то аналогів Tor для вирішення поставленого завдання щодо простого доступу до заблокованих сайтів немає.
Ви не отримаєте повної анонімності, дотримуючись лише цих інструкцій. Анонімність без заходів OPSEC неможлива. Інструкція мають на увазі лише обхід обмежень.
Що нам потрібно?
Для початку нам потрібен або роутер, або сервер, що працює як прозорий мост, що пропускає через себе весь трафік. Це може бути і існуючий сервер, це може бути коробочка з Raspberry Pi. Можуть підійти звичайні компактні роутери з Linux, якщо на них в принципі можна поставити необхідні пакети.
Якщо відповідний роутер у вас вже є, то окремо налаштовувати міст не потрібно і можна.
Якщо ж установка Tor на ваш роутер представляє проблему, то вам знадобиться будь-який комп'ютер із двома мережевими інтерфейсами та Debian Linux на борту. Його ви в кінцевому рахунку підключіть у розрив мережі між роутером, який дивиться у зовнішній світ, та вашою локальною мережею.
Якщо не до серверів та роутерів, то можливо .
Налаштуємо міст
Налаштування моста в Debian проблеми не є. Вам знадобиться програма brctl, яка є в пакеті bridge-utils:
apt install bridge-utils
Постійна конфігурація для мосту задається в /etc/network/interfaces. Якщо ви робите міст з інтерфейсів eth0 і eth1, то конфігурація виглядатиме так:
# Відзначимо інтерфейси як налаштовані вручну iface eth0 inet manual iface eth1 inet manual # Міст піднімається автоматично після перезавантаження auto br0 # Міст з отриманням IP по DHCP iface br0 inet dhcp bridge_ports eth0 eth1 # Міст зі статичним IP iface br0 i .1.2 netmask 255.255.255.0 gateway 192.168.1.1
Вам потрібно вибрати якусь одну конфігурацію для мосту: з динамічним IP або статичним.
Зверніть увагу, що на цьому етапі не обов'язково включати сервер у розрив мережі. Можна обійтись і одним підключеним інтерфейсом.
Попросимо систему застосувати нові налаштування:
service networking reload
Тепер можна перевірити існування мосту командою brctl show:
# brctl show bridge name bridge id STP enabled interfaces br0 8000.0011cc4433ff no eth0 eth1
Подивитися видану IP адресу, та перевірити взагалі факт видачі якогось IP за DHCP або статично, можна командою ip:
# ip --family inet addr show dev br0 scope global 4: br0:
Якщо з IP-адресами все гаразд, то вже можна спробувати включити сервер у розрив мережі.
Зрештою, всі пристрої у вашій мережі, будучи включені через сервер, повинні мати повний доступ до глобальної мережі ніби ніякого сервера між ними і зовнішнім роутером немає. Те саме стосується роботи DHCP та іншого. Все це варто перевірити до переходу до Tor.
Якщо щось працює не так, як раніше, або взагалі не працює, варто спочатку вирішити проблеми, лише потім переходити до настроювання власне Tor.
Налаштуємо демон Tor
Встановлення Tor виконується зазвичай. Встановимо також базу даних прив'язки до країн:
apt install tor tor-geoipdb
Наприкінці файлу конфігурації /etc/tor/torrc потрібно дописати директиви для включення функції проксі-сервера:
VirtualAddrNetworkIPv4 10.0.0.0/8 AutomapHostsOnResolve 1 TransPort 0.0.0.0:9040 DNSPort 0.0.0.0:5300
Перезапустимо Tor і перевіримо, що DNS в нашій конфігурації працює на якомусь відомому сайті:
# service tor restart # dig +short facebookcorewwwi.onion @localhost -p 5300 10.11.127.156
Остання команда повинна вивести IP з підмережі 10.0.0.0/8.
При перезапуску Tor у справі лається використання публічного IP для TransPort і DNSPort , які можуть бути доступні стороннім. Виправимо це непорозуміння, дозволивши лише з'єднання з локальної мережі (у моєму випадку це 192.168.1.0/24):
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 9040 -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 5300 -j ACCEPT iptables -A INPUT -p -dport 9040 -j DROP iptables -A INPUT -p udp --dport 5300 -j DROP
Останні два правила можна пропустити, якщо у вас для ланцюжка INPUT за умовчанням стоїть правило DROP.
Налаштуємо доступ для всієї локальної мережі
Щоб усі пристрої в мережі змогли зайти на сайти Tor нам потрібно переадресувати всі запити до виділеної мережі 10.0.0.0/8 на порт вбудованого проксі-сервера Tor:
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.0/8 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p tcp -d 10.0.0.0/8 -j REDIRECT --to- port 9040
Два правила для ланцюжків PREROUTING і OUTPUT ми додаємо, щоб схем працювала не тільки з пристроїв у мережі, але і з самого сервера. Якщо не потрібно щоб ця схема працювала з сервера, то додавання правила в ланцюжок OUTPUT можна пропустити.
Переадресація запитів DNS до зони.onion
Цю проблему можна було б вирішити або заміною DNS сервера на свою в DHCP відповідях клієнтам, або, якщо у вас в мережі не прийнято використовувати локальний DNS сервер, перехопленням всього DNS трафіку. У другому випадку не потрібно буде абсолютно нічого налаштовувати, але всі ваші клієнти, і ви в тому числі, втратите можливість робити довільні запити до довільних серверів. Це очевидна незручність.
Ми ж переадресуватимемо лише DNS запити, що згадують домен.onion , на порт вбудованого DNS сервера, залишаючи решту запитів у спокої:
iptables -t nat -A PREROUTING -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string "|056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300
Магічний рядок 056f6e696f6e00 пов'язаний з особливостями передачі точки в DNS запитах: вона передається у вигляді довжини наступного після неї рядка. Тому на початку нашого магічного рядка стоїть 0x05 для п'яти символів у слові onion. В кінці рядка стоїть нульовий байт 0x00, тому що кореневий домен (точка) має нульову довжину .
Такий підхід дозволяє вашим користувачам (і вам самим) користуватися якими їм зручно DNS серверами, а також запитувати інформацію у будь-яких DNS серверів без посередників. Водночас ніякі запити в зоні onion не потраплятимуть у відкритий інтернет.
Тепер спробуйте достукатися до якогось популярного сайту в мережі Tor з будь-якого пристрою локальної мережі. Наприклад, так:
$ curl -I facebookcorewwwi.onion HTTP/1.1 301 Moved Permanently Location: https://facebookcorewwwi.onion/
Налагодження та вирішення можливих проблем
Якщо хочеться переконатися, що ніякі DNS запити к.onion не йдуть далі сервера, їх відсутність можна перевірити так:
ngrep -q -d br0 -q -W byline onion udp port 53
У нормі ця команда, виконана на сервері, має показати повну відсутність пакетів - тобто нічого не виводити, щоб ви не робили.
Якщо Firefox не бачить.
Якщо вам це заважає, а перспектива випадкової деанонімізації вас не хвилює (адже ми вже не пускаємо DNS запити к.onion у відкритий інтернет), відключити це можна в about:config за ключом network.dns.blockDotOnion .
Мобільний Safari и.onion
Програми під iOS, включаючи Safari та Chrome, в принципі ігнорує onion при роботі за такою схемою. Як виправити цю проблему в рамках такої схеми, мені невідомо.
Провайдер підміняє IP в DNS
Деякі провайдери з економічних міркувань замість блокування сайтів через IP або через DPI лише підмінюють IP для DNS запитів за списком заборонених сайтів.
Найпростішим вирішенням цієї проблеми буде перехід на сервери Google Public DNS. Якщо це не допомагає, а значить ваш провайдер перенаправляє взагалі весь DNS трафік на свій сервер, то можна перейти на використання Tor DNS, у свою чергу, переадресувавши весь трафік на нього:
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5300 iptables -t nat -A OUTPUT -p udp --dport 53 -j REDIRECT --to-ports 5300
У моїй мережі використовуються IP з 10.0.0.0/8
Немає проблем! У всіх директивах вище використовуйте якусь іншу підмережу з призначених для цього, крім зарезервованих. Серйозно зверніть увагу на резервовані.
Крім того, не обов'язково використовувати одразу весь діапазон – можна обмежитися і підмережею. Наприклад, підійде 10.192.0.0/10.
Обхід блокувань через Tor
Для виходу на заблоковані сайти через Tor перш за все потрібно переконатися, що ви не міняєте шило на мило, використовуючи вихідні вузли схильні до тих же обмежень, що і ви в силу географічного знаходження. Це можна зробити, вказавши в torrc вихідні вузли в яких країнах не можна використовувати.
ExcludeExitNodes (RU), (UA), (BY)
Оновлюємо реєстр
Реєстр не стоїть на місці та список заблокованих сайтів поповнюється. Тому потрібно час від часу вивантажувати актуальний список IP і додавати його в ipset . Найкраще це робити не вивантажуючи весь список цілком щоразу, а викачуючи лише зміни, наприклад, звідси c GitHub.
#!/bin/bash set -e mkdir -p /var/local/blacklist cd /var/local/blacklist git pull -q || git clone https://github.com/zapret-info/z-i.git . ipset flush blacklist tail +2 dump.csv | cut-f1-d\; | grep -Eo "{1,3}\.{1,3}\.{1,3}\.{1,3}" | tee /var/local/blacklist/blacklist.txt | xargs -n1 ipset add blacklist
Можливо видаляти і додавати лише ті, що змінилися в списку IP, для чого вам може знадобитися git whatchanged .
Якщо вам підходить скрипт вище, то саме місце в /etc/cron.daily/blacklist-update . Не забудьте надати цьому файлу права на виконання.
chmod +x /etc/cron.daily/blacklist-update
Зберігаємо налаштування
apt install iptables-persistent
dpkg-reconfigure iptables-persistent
На жаль, такого ж зручного пакету для ipset поки немає, але ця проблема вирішується скриптом /etc/network/if-pre-up.d/ipset:
#!/bin/sh ipset -exist create blacklist hash :ip cat /var/local/blacklist/blacklist.txt | xargs -n1 ipset add -exist blacklist
Обов'язково потрібно надати і цьому скрипту права виконання:
chmod +x /etc/network/if-pre-up.d/ipset
Під час наступного перезавантаження цей скрипт виконається та відновить список заблокованих IP.
Якщо забути про сервери...
Окей, скажіть ви, ну а що якщо я хочу отримати все той же зручний доступ до onion, але без серверів - локально, на одному комп'ютері?
Немає проблем! В цьому випадку все навіть простіше. Досить додати ці три рядки в torrc:
AutomapHostsOnResolve 1 TransPort 9040 DNSPort 5300
Потім ці два правила для iptables:
iptables -t nat -A OUTPUT -p tcp -d 127.192.0.0/10 -j REDIRECT --to-port 9040 iptables -t nat -A OUTPUT -p udp --dport 53 -m string \ --hex-string " |056f6e696f6e00|" --algo bm -j REDIRECT --to-ports 5300
І можна перевіряти. Доступ до заблокованих сайтів налаштовується за інструкцією вище.
Ложка дьогтю
Незважаючи на простоту та зручність цей підхід успадковує частину недоліків мережі Tor.
На заборонені сайти в мережі ви заходите від імені вихідних вузлів, що дає адміністраторам вихідних вузлів принципову можливість спостерігати ваш трафік і ваші паролі, якщо для доступу до цільового сайту не використовується шифрування (мають бути https на початку адреси або зелений замочок 🔒 в адресному рядку).
Можна було б сподіватися, що адміністратори таких вузлів не стежитимуть за вами з міркувань їхнього власного міцного нічного сну, але...
Якщо ви заходите на якийсь сайт по незахищеному з'єднанню, чи через Tor безпосередньо, потрібно завжди мати на увазі що ваші логіни та паролі в принципіможуть опинитися в папці з літерами на столі у людини у погонах.
От і все!
Щось все ще незрозуміло? Щось треба виправити чи щось особливо сподобалося? Напишіть нижче у коментарях.
З такою ініціативою – вільного інтернету на наших очах стає менше. При цьому більшість користувачів впевнені, що Tor і VPN обмежити неможливо. Ми запитали з цього приводу поради у Михайла Лісняка, творця медитативного сервісу з відстеження котирувань валют та цін на нафту Zenrus та викладача Moscow Coding School, на чий курс сьогодні стартував запис.
VPN - якщо двома словами - це створення віртуальної мережі поверх іншої мережі, наприклад нашого інтернету. Тобто між користувачем і VPN-сервером створюється шифрований канал, яким користувач підключається до іншої мережі, і виявляється, що людина з Москви виходить в інтернет, ніби він з, наприклад, Амстердама. Ми зараз розглядаємо один із варіантів VPN, який відноситься до інфоприводу, взагалі різних типів та застосувань набагато більше, але принципи роботи у них абсолютно ті самі.
Tor – система маршрутизації на основі шифрування та розподіленої мережі вузлів-посередників (ними можуть бути і звичайні користувачі Tor). При підключенні до Tor клієнт збирає список доступних вузлів-посередників, вибирає кілька з них і по черзі шифрує кожен пакет, що посилається ключами обраних вузлів. Далі цей зашифрований кількома ключами пакет надсилається на перший (вхідний) вузол-посередник. Той розшифровує свій ключ і відправляє пакет далі, другий вузол розшифровує свій і таке інше. В кінці останній вузол розшифровує останній "шар" і відправляє пакет назовні, в інтернет. Можна уявити це як цибулину, з якою кожен наступний вузол знімає шар. Власне, так Tor і розшифровується – The Onion Routing, тобто «цибульна маршрутизація». Оскільки на всьому шляху пакета він зашифрований і ніхто, крім вхідного вузла, не знає відправника пакета, система забезпечує анонімність і захищеність трафіку.
Але заблокувати роботу Tor можна. По-перше, Tor-клієнт повинен якимось чином одержати список вхідних вузлів. Для цього клієнт підключається до кореневого реєстру цих вузлів. Якщо заблокувати доступ до цього кореневого сервера, клієнт не зможе отримати список вхідних вузлів мережі та не зможе, звичайно, підключитися до мережі. Є ручний спосіб отримання вузлів (наприклад, через пошту), але це, по-перше, не дуже зручно, а по-друге, при виявленні органами нагляду адрес цих вузлів вони все одно відразу можуть бути заблоковані.
Крім того, існує така система, як DPI – система аналізу та фільтрації пакетів. Нині поступово ця система впроваджується у Росії у провайдерів. Вона досить дорога, тому не всі її провайдери використовують. Але це поки що. Думаю, найближчим часом усі магістральні провайдери її встановлять. Ця система може аналізувати трафік на низькому рівні, визначати тип цього трафіку (навіть зашифрованого, але не отримуючи самого вмісту), фільтрувати його та, якщо потрібно, віддавати на блокування. Нині ці системи вже вміють визначати Tor-трафік за певними ознаками. Tor у відповідь вигадав систему маскування трафіку (obfsproxy), але поступово і його вчаться визначати. А користуватися цим стає все складніше і складніше звичайному користувачеві.
Якщо влада захоче, то заблокує все для переважної маси користувачів. Особливо уперті гіки зможуть знайти лазівки, але для звичайного користувача це не варіант
Тобто заборонити в цілій країні Tor можна за допомогою того ж таки DPI. Коли введуть кримінальну відповідальність за використання подібного софту, швидко проведуть кілька показових процесів, і на цьому в основному все закінчиться. Жодних осудних замін Tor поки немає. Той же i2p баниться так само. Зараз блокувати Tor непросто, дорого, але цілком реалізовано, якщо держава цього дуже захоче.
Загалом усе вже придумано і використовується, наприклад, у славетному Китаї. Відомі вузли блокуються, трафік аналізується DPI, і пакети, що визначилися, блокуються (а інформація про відправника доноситься куди слід). Плюс є система «випереджального підключення», коли підозрілий пакет до якогось сервера на Великому фаєрволі «підвішується», а фаєрвол сам робить такий самий запит до цього сервера та аналізує відповідь. А далі за різними критеріями визначається, можна чи не можна.
Якщо влада захоче, то заблокує все для переважної маси користувачів. Звичайно, особливо уперті гіки зможуть знайти лазівки, їх прикриватимуть, будуть нові лазівки - це ж вічний процес, як це відбувається з вірусами та антивірусами. Але для простого користувача це не варіант. Крім того, завжди залишається можливість запровадити білі списки або просто закрити весь зовнішній інтернет повністю. Але сподіваюся, до цього не дійде.
