Čtyři cesty, jak cenzurovat český internet. Ani jedna prakticky nefunguje

  • Poslanci odklepli nový zákon proti hazardu
  • Zavádí celostátní seznam zakázaných webů
  • Cenzura ale technicky nemůže fungovat

Poslanecká sněmovna včera schválila vládní návrh kontroverzního zákona o hazardních hrách. Pokud projde i horní komorou parlamentu a nakonec jej podepíše prezident, ministerstvo financi od příštího roku začne spravovat elektronický seznam webových adres ilegálních sázkových webů a každý poskytovatel internetového připojení bude mít povinnost bránit v přístupu na podobné stránky.

Operátor, který nebude blokovat, riskuje milionovou pokutu

Ačkoliv je součástí zákona i návrh vyhlášky, oba dokumenty jsou poměrně skoupé na slovo v otázce, jakým způsobem by vlastně takové blokování mělo fungovat v praxi. Dnes si připomeneme ty nejtypičtější metody, které se už dnes používají ve světě.

Nejprve si ale připomeňme první odstavec § 82 – Blokace nepovolených internetových her, ve kterém se píše:

(1) Poskytovatelé připojení k internetu na území České republiky jsou povinni zamezit v přístupu k internetovým stránkám uvedeným na seznamu internetových stránek s nepovolenými internetovými hrami.

Zajímavý je onen imperativ jsou povinni zamezit, který snad ani nepřipouští možnost, že by se to nemělo operátorům podařit, a nabízí se tedy otázka, co by jim v případě neúspěchu hrozilo.

Odpovědí je § 122 a pátý odstavec, který praví:

(5) Poskytovatel připojení k internetu na území České republiky se dopustí správního deliktu tím, že neučiní ve stanovené lhůtě opatření k zamezení v přístupu k internetovým stránkám podle § 82.

Nevím, jak jej čtete vy, nicméně zde se už nemohu ubránit pocitu, že tento imperativ je mnohem měkčí. Poskytovateli připojení by hrozil správní delikt jen v případě, pokud by neučinil opatření k zamezení. Bude jistě zajímavé sledovat první správní řízení a sudího, který bude rozhodovat o tom, zdali bylo opatření dostatečné, či nikoliv, ani jedna ze současných technických metod blokace totiž není absolutní a všechny do jedné lze velmi snadno obejít.

A ještě jeden důležitý odstavec:

(11) Za správní delikt podle odstavce 5 a 6 se uloží pokuta až do 1 000 000 Kč.

Pokud tedy operátor nezamezí v přístupu na zakázané webové stránky, hrozí mu v krajním případě pokuta, která může být zejména pro malé operátory likvidační. Nejen že bude muset na své náklady investovat do blokačních mechanizmů, ale pokud nebudou dostatečné, bude potrestán ještě jednou.

A teď už se pojďme podívat, jaké obecné techniky bude mít vlastně operátor na výběr.

1. Blokace pomocí DNS

Nejprimitivnější a tedy i technicky nejschůdnější blokací je filtrování požadavků na DNS server. Pokud zadáte do prohlížeče třeba hypotetickou adresu www.superilegalnisazky.com, která bude na černé listině, DNS server operátora namísto korektní IP adresy daného webového serveru odpoví nějakou alternativní, která v lepším případě povede na server s chybovým hlášením a vysvětlením, proč je daný web nedostupný.

Klepněte pro větší obrázek
Zjištění IP adresy pro doménu zive.cz pomocí Google Public DNS

Jenže to má jeden háček. Surfař není povinen používat DNS server svého operátora, ale jakýkoliv jiný – třeba populární, rychlý a především nikterak filtrovaný Google Public DNS (8.8.8.8 a 8.8.4.4). Blokování domén pomocí DNS je tedy sice technicky jednoduché, a proto se jedná o nejrozšířenější techniku, nicméně jej lze obejít opravdu jednoduchým zásahem.

Klepněte pro větší obrázek
Změna serveru DNS na Windows

2. Blokace IP adres

Vedle blokace DNS by mohl operátor blokovat i cílové IP adresy, na kterých běží zakázaný web. Jenže i to dnes není tak jednoduché, protože na jedné IP adrese může být dostupný celý zástup webových serverů. Ostatně platí to i o naší infrastruktuře. Na IP adresu 5.198.129.128 tedy směřuje nejen naše Živě.cz, ale i další domény Mladé fronty.

Klepněte pro větší obrázek
Za jednou IP adresou může být schovaná hromada webů, nejen ten ilegální

Samostatnou kapitolou jsou pak všemožné internetové CDN systémy a jiné proxy brány, v rámci kterých je zcela běžné, že se za jednou IP adresou skrývají webové servery hromady zákazníků, kteří nemají nic společného. Kdyby tedy operátor začal blokovat podobnou sdílenou IP, sice znepřístupní ilegální sázkový web, ale třeba také nějaký e-shop, kterému tak vznikne potenciální škoda.

Nebylo by to ostatně nic nového. CDN službu CloudFlare svého času používalo třeba pirátské YIFY a britští operátoři, kteří jej blokovali na úrovni IP adresy, tak surfařům znepřístupnili i hromadu dalších a zcela nevinných stránek.

3. Filtrování HTTP dotazů

Operátor by nicméně mohl permanentně analyzovat a filtrovat komunikaci na úrovni HTTP. Když tedy prohlížeč vyšle sítí požadavek HTTP GET na soubor superilegalnisazky.com/index.html, operátor jej zastaví, protože zachytí zakázaný řetězec superilegalnisazky.com.

Klepněte pro větší obrázek
Analýza HTTP komunikace ve Wiresharku

4. Filtrování paketů

A pokud by nestačilo filtrování jednotlivých dotazů HTTP, mohl by operátor analyzovat paket po paketu (techniky DPI – Deep Packet Inspection) a podobně jako v předchozím případě v nich hledat textové řetězce a jiné identifikátory zakázaného webu.

Obě formy filtrování však již poměrně citelně zasahují do surfařova soukromí a pouze vybízejí k tomu, aby člověk používal zabezpečené šifrované spojení HTTPS naprosto ve všech případech.

Česko není Čína. Blokace nebude fungovat

Nejpodstatnější je však to, že všechny tyto formy blokace každý surfař snadno obejde. Pokud se bude jednat o sofistikovanější metodu než primitivní filtrování DNS, surfař (nebo provozovatel ilegální služby) jednoduše použije proxy/VPN server, respektive některou z mnoha dostupných bezplatných i komerčních anonymizačních služeb jako třeba TunnelBear, jehož základní verze je zdarma a běží jak na počítači, tak na chytrých telefonech. Anebo samozřejmě i Tor, jehož slabinou je ale nižší rychlost.

Klepněte pro větší obrázek
Spuštění šifrované linky do internetu dnes díky službám jako TunnelBear aj. zvládne i naprostý zelenáč

Jakmile se surfař připojí k internetu šifrovaným tunelem, veškeré snahy o blokaci narazí jako kosa na kámen, protože operátor nebude mít potuchy o tom, na jakých stránkách se surfař zrovna pohybuje. A jelikož jsou VPN a Tor zcela legální síťové služby, může je nakonec propagovat a nabízet i samotný ilegální sázkový web. To je ostatně i odpověď na otázku, proč může blokování internetu relativně dobře fungovat třeba v Číně. Protože tamní státní moc má mnohem více silových pák než země s euroatlantickými právními normami.

Snahy o blokování internetu jsou tedy prakticky nefunkční, a jak ukazují případy ze zahraničí – třeba letitá blokace warezu ve Spojeném království, zakazování má v mnoha případech naprosto opačný efekt. Když britské soudy nařídily operátorům blokovat v přístupu na stránky The Pirate Bay, návštěvnost z UK kvůli medializaci paradoxně mnohem vzrostla a o kontroverzním bittorrentovém skladišti se dozvěděli i ti, kteří jej do té doby neznali.

Lze předpokládat, že k tomu stejnému může dojít i u nás, protože jakmile se podobný centrální blacklist začne plnit prvními hříšníky, bude zároveň fungovat i jako skvělá reklama na zakázané ovoce.


 

Kauze jsme se věnovali od loňského podzimu:

Témata článku: Internet, Právo, Cenzura

90 komentářů

Nejnovější komentáře

  • xmarek 16. 4. 2016 16:07:09
    Je mi jasné, že to tady zapadne, ale přece jen mi to nedá. Před 2 lety...
  • Michal Lupečka 16. 4. 2016 10:32:34
    Ještě u bodů 3 a 4 bych přidal zmínku, že analýza a filtrování komunikace...
  • Anna Kortová 16. 4. 2016 9:08:03
    Zahranicni stranka, jejiz provozovatel ani nemusi vedet o existenci nejake...

Určitě si přečtěte


Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

Deset tipů, jak ovládnout Google: Vyhledávejte jako mistři

** Vyhledávače jsou natolik dobré, že si poradí i s frází v běžné češtině ** Pokud to ale nebude stačit, můžete vyzkoušet pokročilé funkce ** Vybrali jsme ty nejzajímavější

Včera | Jakub Čížek | 8

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

** Budeme odposlouchávat IR ovladač klimatizace ** Vyrobíme laciný rádiový vysílač ** Vyzkoušíme komunikaci pomocí Bluetooth a v pásmu 433 MHz

21.  9.  2016 | Jakub Čížek | 18

Nejlepší programy pro střih videa na doma: 10 video editorů, ze kterých si vyberete

Nejlepší programy pro střih videa na doma: 10 video editorů, ze kterých si vyberete

** Adobe Premiere Pro ani Final Cut se pro běžné uživatele příliš nehodí ** Programy na domácí střih většinou stojí do dvou tisíc ** V desítce nejzajímavějších najdete i 3 videoeditory dostupné zdarma

19.  9.  2016 | Stanislav Janů | 37

Vymazat se z internetu není možné, velkou část osobního obsahu však odstranit můžete

Vymazat se z internetu není možné, velkou část osobního obsahu však odstranit můžete

** Online stopy i se svým jménem zanechá většina uživatelů internetu ** Jejich smazání nikdy nebude stoprocentní ** Poradíme, jak odstranit jejich větší část

20.  9.  2016 | Stanislav Janů | 21

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

Jak zastavit nechtěné programy na Windows? Koukněte na Plánovač úloh

** V systému se mohou periodicky spouštět nechtěné aplikace ** Anebo si vyberou tu nejméně vhodnou chvíli ** Prozkoumejte Plánovač úloh na Windows

23.  9.  2016 | Jakub Čížek | 121