В статье Интернет-цензура и обход блокировок: не время расслабляться есть пункт 4 про то, что нужно использовать 2 IP адреса, один на вход, другой на выход. Я все эти года отмахивался от него, ведь у меня уже настроен умный роутинг и на мобильных клиентах тоже, то есть российским сайтам я свой драгоценный IP не показываю и должно быть все ок. Да? Нет.
Раскрыло мне глаза вся эта возня Минцифры, что российские приложения должны стать шпионами и сдавать куда надо все ваши данные, там в том числе была методика, что нужно обращаться к зарубежным сайтам, которые показывают IP и есть шанс, что там вскроется ваш IP. Ок, я ж подготовился, просмотрел свой список доменов для роутинга и вычистил подобные сайты, раза 2 проверил. Теперь то все ок? Да? Нет.
На днях попалась статья про то, что энтузиаст сделал приложение для проверки по методичке Минцифры своего устройства Android. Я скачал, с полной уверенностью, что я пройду легко этот тест. Жму кнопку проверки и ... ALARM! Свистать всех наверх! Мой драгоценный IP выдал ipify. КАК?!
Я еще раз проверил список на роутинг, нет там никакого ipify. Как его IP адрес попал в роутинг? Прошерстил всю файловую систему OpenWRT - никаких следов ipify. Хм. Очистил таблицу роутинга и "пошел" на работу, включив рабочий ноутбук с легальным рабочим КВНом.
На рабочем компьютере иногда использую ChatGPT, и с этим есть проблема - он не пускает людей из РФ. То что я на основном компьютере вызывал сайт ChatGPT и его IP уже попал в роутинг - ничего не значит, т.к. рабочий КВН использует свои DNS адреса и для ChatGPT выдает другой IP. Я как всегда делаю ping chatgpt.com, получаю IP адрес и иду в OpenWRT добавлять вручную в таблицу маршрутизацию этот IP адрес...
СТОП, где то я этот IPшник видел!
Как?
Я довольно продвинутый пользователь ЭВМ, но для меня стало откровением что на одном IP адресе могут сидеть несколько сервисов. Это был IP адрес Cloudfare и как выяснил это типичная ситуация.
Таким образом никакой гарантии защиты от такой ситуации нет. Добавляя безобидный IP в роутинг, можно добавить и зарубежный сайт проверки IP, который будет использовать шпион и от этого не защититься.
Банить IP Cloudfare - не вариант.
Банить по доменному имени все сервисы проверок IP - это будет работать, если шпионское ПО честно использует DNS сервер твоего роутера, а он может использовать DNS сервер какой ему вздумается и запретить это нельзя.
Была мысля поднять свой ТСПУ на openwrt и рвать сессию шпиона на этапе рукопожатия для всех сайтов проверок IP. :) Но это уже перебор. Да и шпион может свой сайт поднять за Cloudfare и смотреть твой IP и ты про существование этого сайта даже не узнаешь.
Самое простое - иметь два IP адреса, для входа и выхода. Это закроет данный вектор атаки.
Осведомлен - значит вооружен.
