reklama

Čtyři cesty, jak cenzurovat český internet. Ani jedna prakticky nefunguje

  • Poslanci odklepli nový zákon proti hazardu
  • Zavádí celostátní seznam zakázaných webů
  • Cenzura ale technicky nemůže fungovat

Poslanecká sněmovna včera schválila vládní návrh kontroverzního zákona o hazardních hrách. Pokud projde i horní komorou parlamentu a nakonec jej podepíše prezident, ministerstvo financi od příštího roku začne spravovat elektronický seznam webových adres ilegálních sázkových webů a každý poskytovatel internetového připojení bude mít povinnost bránit v přístupu na podobné stránky.

Operátor, který nebude blokovat, riskuje milionovou pokutu

Ačkoliv je součástí zákona i návrh vyhlášky, oba dokumenty jsou poměrně skoupé na slovo v otázce, jakým způsobem by vlastně takové blokování mělo fungovat v praxi. Dnes si připomeneme ty nejtypičtější metody, které se už dnes používají ve světě.

Nejprve si ale připomeňme první odstavec § 82 – Blokace nepovolených internetových her, ve kterém se píše:

(1) Poskytovatelé připojení k internetu na území České republiky jsou povinni zamezit v přístupu k internetovým stránkám uvedeným na seznamu internetových stránek s nepovolenými internetovými hrami.

Zajímavý je onen imperativ jsou povinni zamezit, který snad ani nepřipouští možnost, že by se to nemělo operátorům podařit, a nabízí se tedy otázka, co by jim v případě neúspěchu hrozilo.

Odpovědí je § 122 a pátý odstavec, který praví:

(5) Poskytovatel připojení k internetu na území České republiky se dopustí správního deliktu tím, že neučiní ve stanovené lhůtě opatření k zamezení v přístupu k internetovým stránkám podle § 82.

Nevím, jak jej čtete vy, nicméně zde se už nemohu ubránit pocitu, že tento imperativ je mnohem měkčí. Poskytovateli připojení by hrozil správní delikt jen v případě, pokud by neučinil opatření k zamezení. Bude jistě zajímavé sledovat první správní řízení a sudího, který bude rozhodovat o tom, zdali bylo opatření dostatečné, či nikoliv, ani jedna ze současných technických metod blokace totiž není absolutní a všechny do jedné lze velmi snadno obejít.

A ještě jeden důležitý odstavec:

(11) Za správní delikt podle odstavce 5 a 6 se uloží pokuta až do 1 000 000 Kč.

Pokud tedy operátor nezamezí v přístupu na zakázané webové stránky, hrozí mu v krajním případě pokuta, která může být zejména pro malé operátory likvidační. Nejen že bude muset na své náklady investovat do blokačních mechanizmů, ale pokud nebudou dostatečné, bude potrestán ještě jednou.

A teď už se pojďme podívat, jaké obecné techniky bude mít vlastně operátor na výběr.

1. Blokace pomocí DNS

Nejprimitivnější a tedy i technicky nejschůdnější blokací je filtrování požadavků na DNS server. Pokud zadáte do prohlížeče třeba hypotetickou adresu www.superilegalnisazky.com, která bude na černé listině, DNS server operátora namísto korektní IP adresy daného webového serveru odpoví nějakou alternativní, která v lepším případě povede na server s chybovým hlášením a vysvětlením, proč je daný web nedostupný.

Klepněte pro větší obrázek
Zjištění IP adresy pro doménu zive.cz pomocí Google Public DNS

Jenže to má jeden háček. Surfař není povinen používat DNS server svého operátora, ale jakýkoliv jiný – třeba populární, rychlý a především nikterak filtrovaný Google Public DNS (8.8.8.8 a 8.8.4.4). Blokování domén pomocí DNS je tedy sice technicky jednoduché, a proto se jedná o nejrozšířenější techniku, nicméně jej lze obejít opravdu jednoduchým zásahem.

Klepněte pro větší obrázek
Změna serveru DNS na Windows

2. Blokace IP adres

Vedle blokace DNS by mohl operátor blokovat i cílové IP adresy, na kterých běží zakázaný web. Jenže i to dnes není tak jednoduché, protože na jedné IP adrese může být dostupný celý zástup webových serverů. Ostatně platí to i o naší infrastruktuře. Na IP adresu 5.198.129.128 tedy směřuje nejen naše Živě.cz, ale i další domény Mladé fronty.

Klepněte pro větší obrázek
Za jednou IP adresou může být schovaná hromada webů, nejen ten ilegální

Samostatnou kapitolou jsou pak všemožné internetové CDN systémy a jiné proxy brány, v rámci kterých je zcela běžné, že se za jednou IP adresou skrývají webové servery hromady zákazníků, kteří nemají nic společného. Kdyby tedy operátor začal blokovat podobnou sdílenou IP, sice znepřístupní ilegální sázkový web, ale třeba také nějaký e-shop, kterému tak vznikne potenciální škoda.

Nebylo by to ostatně nic nového. CDN službu CloudFlare svého času používalo třeba pirátské YIFY a britští operátoři, kteří jej blokovali na úrovni IP adresy, tak surfařům znepřístupnili i hromadu dalších a zcela nevinných stránek.

3. Filtrování HTTP dotazů

Operátor by nicméně mohl permanentně analyzovat a filtrovat komunikaci na úrovni HTTP. Když tedy prohlížeč vyšle sítí požadavek HTTP GET na soubor superilegalnisazky.com/index.html, operátor jej zastaví, protože zachytí zakázaný řetězec superilegalnisazky.com.

Klepněte pro větší obrázek
Analýza HTTP komunikace ve Wiresharku

4. Filtrování paketů

A pokud by nestačilo filtrování jednotlivých dotazů HTTP, mohl by operátor analyzovat paket po paketu (techniky DPI – Deep Packet Inspection) a podobně jako v předchozím případě v nich hledat textové řetězce a jiné identifikátory zakázaného webu.

Obě formy filtrování však již poměrně citelně zasahují do surfařova soukromí a pouze vybízejí k tomu, aby člověk používal zabezpečené šifrované spojení HTTPS naprosto ve všech případech.

Česko není Čína. Blokace nebude fungovat

Nejpodstatnější je však to, že všechny tyto formy blokace každý surfař snadno obejde. Pokud se bude jednat o sofistikovanější metodu než primitivní filtrování DNS, surfař (nebo provozovatel ilegální služby) jednoduše použije proxy/VPN server, respektive některou z mnoha dostupných bezplatných i komerčních anonymizačních služeb jako třeba TunnelBear, jehož základní verze je zdarma a běží jak na počítači, tak na chytrých telefonech. Anebo samozřejmě i Tor, jehož slabinou je ale nižší rychlost.

Klepněte pro větší obrázek
Spuštění šifrované linky do internetu dnes díky službám jako TunnelBear aj. zvládne i naprostý zelenáč

Jakmile se surfař připojí k internetu šifrovaným tunelem, veškeré snahy o blokaci narazí jako kosa na kámen, protože operátor nebude mít potuchy o tom, na jakých stránkách se surfař zrovna pohybuje. A jelikož jsou VPN a Tor zcela legální síťové služby, může je nakonec propagovat a nabízet i samotný ilegální sázkový web. To je ostatně i odpověď na otázku, proč může blokování internetu relativně dobře fungovat třeba v Číně. Protože tamní státní moc má mnohem více silových pák než země s euroatlantickými právními normami.

Snahy o blokování internetu jsou tedy prakticky nefunkční, a jak ukazují případy ze zahraničí – třeba letitá blokace warezu ve Spojeném království, zakazování má v mnoha případech naprosto opačný efekt. Když britské soudy nařídily operátorům blokovat v přístupu na stránky The Pirate Bay, návštěvnost z UK kvůli medializaci paradoxně mnohem vzrostla a o kontroverzním bittorrentovém skladišti se dozvěděli i ti, kteří jej do té doby neznali.

Lze předpokládat, že k tomu stejnému může dojít i u nás, protože jakmile se podobný centrální blacklist začne plnit prvními hříšníky, bude zároveň fungovat i jako skvělá reklama na zakázané ovoce.


 

Kauze jsme se věnovali od loňského podzimu:

Témata článku: Právo, Internet, DNS, Cenzura, Blacklist

88 komentářů

Nejnovější komentáře

  • xmarek 16. 4. 2016 16:07:09
    Je mi jasné, že to tady zapadne, ale přece jen mi to nedá. Před 2 lety...
  • Michal Lupečka 16. 4. 2016 10:32:34
    Ještě u bodů 3 a 4 bych přidal zmínku, že analýza a filtrování komunikace...
  • Anna Kortová 16. 4. 2016 9:08:03
    Zahranicni stranka, jejiz provozovatel ani nemusi vedet o existenci nejake...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 99

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

ASUS ZenBook 3 se začal prodávat v Česku. Je ve všem lepší než MacBook, ale bude to stačit?

** Novinka od Asusu míří přímo proti MacBooku od Applu ** Nabídne daleko více výkonu za stejné peníze

2.  12.  2016 | David Polesný | 144

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

Včera | Jakub Čížek | 33


reklama