Poslanecká sněmovna včera schválila vládní návrh kontroverzního zákona o hazardních hrách. Pokud projde i horní komorou parlamentu a nakonec jej podepíše prezident, ministerstvo financi od příštího roku začne spravovat elektronický seznam webových adres ilegálních sázkových webů a každý poskytovatel internetového připojení bude mít povinnost bránit v přístupu na podobné stránky.
Operátor, který nebude blokovat, riskuje milionovou pokutu
Ačkoliv je součástí zákona i návrh vyhlášky, oba dokumenty jsou poměrně skoupé na slovo v otázce, jakým způsobem by vlastně takové blokování mělo fungovat v praxi. Dnes si připomeneme ty nejtypičtější metody, které se už dnes používají ve světě.
Nejprve si ale připomeňme první odstavec § 82 – Blokace nepovolených internetových her, ve kterém se píše:
(1) Poskytovatelé připojení k internetu na území České republiky jsou povinni zamezit v přístupu k internetovým stránkám uvedeným na seznamu internetových stránek s nepovolenými internetovými hrami.
Zajímavý je onen imperativ jsou povinni zamezit, který snad ani nepřipouští možnost, že by se to nemělo operátorům podařit, a nabízí se tedy otázka, co by jim v případě neúspěchu hrozilo.
Odpovědí je § 122 a pátý odstavec, který praví:
(5) Poskytovatel připojení k internetu na území České republiky se dopustí správního deliktu tím, že neučiní ve stanovené lhůtě opatření k zamezení v přístupu k internetovým stránkám podle § 82.
Nevím, jak jej čtete vy, nicméně zde se už nemohu ubránit pocitu, že tento imperativ je mnohem měkčí. Poskytovateli připojení by hrozil správní delikt jen v případě, pokud by neučinil opatření k zamezení. Bude jistě zajímavé sledovat první správní řízení a sudího, který bude rozhodovat o tom, zdali bylo opatření dostatečné, či nikoliv, ani jedna ze současných technických metod blokace totiž není absolutní a všechny do jedné lze velmi snadno obejít.
A ještě jeden důležitý odstavec:
(11) Za správní delikt podle odstavce 5 a 6 se uloží pokuta až do 1 000 000 Kč.
Pokud tedy operátor nezamezí v přístupu na zakázané webové stránky, hrozí mu v krajním případě pokuta, která může být zejména pro malé operátory likvidační. Nejen že bude muset na své náklady investovat do blokačních mechanizmů, ale pokud nebudou dostatečné, bude potrestán ještě jednou.
A teď už se pojďme podívat, jaké obecné techniky bude mít vlastně operátor na výběr.
1. Blokace pomocí DNS
Nejprimitivnější a tedy i technicky nejschůdnější blokací je filtrování požadavků na DNS server. Pokud zadáte do prohlížeče třeba hypotetickou adresu www.superilegalnisazky.com, která bude na černé listině, DNS server operátora namísto korektní IP adresy daného webového serveru odpoví nějakou alternativní, která v lepším případě povede na server s chybovým hlášením a vysvětlením, proč je daný web nedostupný.
Zjištění IP adresy pro doménu zive.cz pomocí Google Public DNS
Jenže to má jeden háček. Surfař není povinen používat DNS server svého operátora, ale jakýkoliv jiný – třeba populární, rychlý a především nikterak filtrovaný Google Public DNS (8.8.8.8 a 8.8.4.4). Blokování domén pomocí DNS je tedy sice technicky jednoduché, a proto se jedná o nejrozšířenější techniku, nicméně jej lze obejít opravdu jednoduchým zásahem.
Změna serveru DNS na Windows
2. Blokace IP adres
Vedle blokace DNS by mohl operátor blokovat i cílové IP adresy, na kterých běží zakázaný web. Jenže i to dnes není tak jednoduché, protože na jedné IP adrese může být dostupný celý zástup webových serverů. Ostatně platí to i o naší infrastruktuře. Na IP adresu 5.198.129.128 tedy směřuje nejen naše Živě.cz, ale i další domény Mladé fronty.
Za jednou IP adresou může být schovaná hromada webů, nejen ten ilegální
Samostatnou kapitolou jsou pak všemožné internetové CDN systémy a jiné proxy brány, v rámci kterých je zcela běžné, že se za jednou IP adresou skrývají webové servery hromady zákazníků, kteří nemají nic společného. Kdyby tedy operátor začal blokovat podobnou sdílenou IP, sice znepřístupní ilegální sázkový web, ale třeba také nějaký e-shop, kterému tak vznikne potenciální škoda.
Nebylo by to ostatně nic nového. CDN službu CloudFlare svého času používalo třeba pirátské YIFY a britští operátoři, kteří jej blokovali na úrovni IP adresy, tak surfařům znepřístupnili i hromadu dalších a zcela nevinných stránek.
3. Filtrování HTTP dotazů
Operátor by nicméně mohl permanentně analyzovat a filtrovat komunikaci na úrovni HTTP. Když tedy prohlížeč vyšle sítí požadavek HTTP GET na soubor superilegalnisazky.com/index.html, operátor jej zastaví, protože zachytí zakázaný řetězec superilegalnisazky.com.
Analýza HTTP komunikace ve Wiresharku
4. Filtrování paketů
A pokud by nestačilo filtrování jednotlivých dotazů HTTP, mohl by operátor analyzovat paket po paketu (techniky DPI – Deep Packet Inspection) a podobně jako v předchozím případě v nich hledat textové řetězce a jiné identifikátory zakázaného webu.
Obě formy filtrování však již poměrně citelně zasahují do surfařova soukromí a pouze vybízejí k tomu, aby člověk používal zabezpečené šifrované spojení HTTPS naprosto ve všech případech.
Česko není Čína. Blokace nebude fungovat
Nejpodstatnější je však to, že všechny tyto formy blokace každý surfař snadno obejde. Pokud se bude jednat o sofistikovanější metodu než primitivní filtrování DNS, surfař (nebo provozovatel ilegální služby) jednoduše použije proxy/VPN server, respektive některou z mnoha dostupných bezplatných i komerčních anonymizačních služeb jako třeba TunnelBear, jehož základní verze je zdarma a běží jak na počítači, tak na chytrých telefonech. Anebo samozřejmě i Tor, jehož slabinou je ale nižší rychlost.
Spuštění šifrované linky do internetu dnes díky službám jako TunnelBear aj. zvládne i naprostý zelenáč
Jakmile se surfař připojí k internetu šifrovaným tunelem, veškeré snahy o blokaci narazí jako kosa na kámen, protože operátor nebude mít potuchy o tom, na jakých stránkách se surfař zrovna pohybuje. A jelikož jsou VPN a Tor zcela legální síťové služby, může je nakonec propagovat a nabízet i samotný ilegální sázkový web. To je ostatně i odpověď na otázku, proč může blokování internetu relativně dobře fungovat třeba v Číně. Protože tamní státní moc má mnohem více silových pák než země s euroatlantickými právními normami.
Snahy o blokování internetu jsou tedy prakticky nefunkční, a jak ukazují případy ze zahraničí – třeba letitá blokace warezu ve Spojeném království, zakazování má v mnoha případech naprosto opačný efekt. Když britské soudy nařídily operátorům blokovat v přístupu na stránky The Pirate Bay, návštěvnost z UK kvůli medializaci paradoxně mnohem vzrostla a o kontroverzním bittorrentovém skladišti se dozvěděli i ti, kteří jej do té doby neznali.
Lze předpokládat, že k tomu stejnému může dojít i u nás, protože jakmile se podobný centrální blacklist začne plnit prvními hříšníky, bude zároveň fungovat i jako skvělá reklama na zakázané ovoce.
Kauze jsme se věnovali od loňského podzimu:
