Internet | Bezpečnost

Jak z moci úřední zablokovat cizí web? Dokonalé řešení neexistuje

Národní centrum kybernetických operací (NCKO), které provozuje Vojenské zpravodajství, žádá v souvislosti s útokem na Ukrajinu blokaci až několika desítek webů. Tento krok by měl navázat na včerejší a technicky mnohem jednodušší odstavení několika tuzemských domén ze strany CZ.NIC.

Smazání domény je nicméně relativně jednoduché, protože ty národní (.CZ) jsou vždy spravované místní autoritou. Jak ale zablokovat třeba takový ruský Sputnik, což požaduje i NCKO? Obecných možností je hned několik, až na výjimky ale není ani jedna z nich absolutní.

Odstavení hostingu

Stejně jako CZ.NIC spravuje české domény .CZ a má nad nimi tedy plnou moc, mohl by podobným způsobem při splnění právních podmínek skončit jakýkoliv webový server, který k ukládání vlastních dat používá infrastrukturu některé z českých hostingových společností. To ale nebude případ zahraničního Sputniku a také mnoha dalších webů na seznamu, které mají servery v zahraničí.

Klepněte pro větší obrázek
SSH terminál mého Ubuntu na Oracle Cloudu v amsterdamském datovém centru. Kdybych zde hostoval problematický obsah, mohu o vše z moci úřední přijít

DNS blokace ze strany operátora

Druhou a ve světě i u nás zdaleka nejčastější metodou je odstavení webu skrze jeho doménu a DNS odpovídač tuzemského internetového operátora. Podobným způsobem se v zahraničí blokuje třeba The Pirate Bay a u nás už roky stránky, které se dostaly na nechvalně proslulý blacklist nepovolených internetových her Ministerstva financí ČR.

Princip je prostý. Pokud by uživatel internetu používal DNS server svého operátora, ten při dotazu: „Jaká IP adresa patří pro doménu cz.sputniknews.com?“ neodpoví číslem 178.248.236.242, ale může druhou stranu přesměrovat na vlastní stránku s vysvětlením, proč je ruský web z moci úřední zablokovaný.

Klepněte pro větší obrázek
Moje domácí síť používá DNS od Cloudflaru, pokud tedy ISP zablokuje jakoukoliv doménu skrze vlastní infrastrukturu, vůbec si toho nevšimnu

Mimochodem, doménový systém na tyto případy pamatuje i ve své specifikaci RFC-7725, která popisuje chybový kód 451, tedy HTTP/1.1 451 Unavailable For Legal Reasons. O samotnou interpretaci se pak může postarat přímo webový prohlížeč, jak to známe i u tolik typické chyby 404, která informuje o tom, že kýžená stránka neexistuje.

Má to jeden háček. Každý zkušenější uživatel si může nastavit jiný DNS server, který se bude ptát na překlad domén na IP adresy. Nikdo nemá žádnou povinnost používat ten, který mu zpravidla automaticky po navázaní spojení skrze DHCP přidělí operátor.

DPI a odposlech DNS

ISP by tedy mohl ještě implementovat některé techniky z ranku DPI (Deep Packet Inspection) a mohl by se ponořit ještě o něco hlouběji. V masovém měřítku se to ale zpravidla neděje, protože je to drahé, náročně a operátor by se mohl právem ptát, kdo mu zaplatí případné náklady na implementaci takto pokročilé technologie.

Klepněte pro větší obrázek
Moje domácí síť provádí DNS dotazy šifrovaně (TLS), operátor je proto nemůže snadno odposlouchávat

Operátor by mohl například odposlouchávat dotazy na cizí DNS servery, no a pokud by se v nich objevil opět Sputnik, spojení ukončí a odpoví stejným způsobem jako v předchozím případě.

Jenže tu už nějaký pátek máme pokročilou bezpečnostní funkci šifrovaného dotazování na DNS: DNS over TLS/HTTPS (DoT/DoH). Tento způsob by proto také nefungoval.

DPI a kompletní odposlech protokolu HTTP

Stejně tak by mohl operátor alespoň teoreticky blokovat přímo HTTP komunikaci nehledě na doménu. Když se v ní objeví HTML kód Sputniku, spojení ukončí. Jenže se nepíše rok 2005, ale 2022 a i přenos na protokolu HTTP je dnes ve většině podobných případů šifrovaný skrze technologii HTTPS.

Klepněte pro větší obrázek
Většina HTTP spojení v prohlížeči Chrome je dnes už šifrovaná (Google Transparency Report)

Ne že by to nemělo řešení, máme zde nejrůznější techniky fingerprintu šifrovaného obsahu, ale opět je třeba zopakovat, že v masovém měřítku by to bylo technologicky náročné, drahé a nejspíše i neefektivní. Náruživí čtenáři Sputniku si ho totiž načtou tak jako tak třeba skrze VPN, Tor aj.

Blokace na úrovni IP

Na závěr máme ještě jednu obecnou možnost. Nemusíme blokovat doménu a nemusíme ani analyzovat příchozí a odchozí pakety, ale jednoduše zablokujeme veškeré pokusy o navázaní komunikace s konkrétní IP adresou. IP adresou serveru Sputnik.

I tato technika se mnohdy používá, nicméně sebou nese jedno zjevné riziko. Za jednou IP adresou se nemusí skrývat jen jeden jediný webový server Sputniku, ale i hromada dalších aplikací, které s ním nemají nic společného.

Stručně řečeno, tento postup se může snadno proměnit v kobercový nálet a v minulosti už k němu došlo mnohokrát třeba v případě blokace IP adres CDN služeb typu Cloudflare.

Dokonalá blokace je fikce

Podobné pokusy o výmaz webu z místního internetu proto mají své technické limity a jedná se spíše o symbol a gesto. Své o tom ostatně vědí i v Číně, která má s omezováním internetu nejspíše zdaleka nejbohatší zkušenosti ze všech. Nechvalně proslulý Velký čínský firewall je ale i tak děravý jako ementál a obejde jej kdejaké vpnko.

Nejlepší a v podstatě jedinou spolehlivou zbraní proti Sputniku a jemu podobným je proto prosté uvědomění, že je jeho četba vážně úplná pitomost.

Diskuze (17) Další článek: Srovnávací test odolných telefonů do 8 000 Kč. Žádný propadák, některé přidají laserové měření či termovizi

Témata článku: Internet, Bezpečnost, Web, Chrome, Čína, VPN, Ukrajina, Doména, Ubuntu, The Pirate Bay, Tor, DNS, Šifrování, HTTPS, Dokonalé řešení, ISP, DPI, Adresa, Deep Packet Inspection, Operátor, Vojenské zpravodajství, TLS, Cloudflare, Oracle Cloud, Blokace



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Volat a datovat v zahraničí za ceny jako doma budeme moci dalších 10 let. Navíc to bude ještě výhodnější

Volat a datovat v zahraničí za ceny jako doma budeme moci dalších 10 let. Navíc to bude ještě výhodnější

** Volání a datování za ceny jako doma v zahraničí prodlouženo na 10 let ** Evropská komise zastropuje i velkooobchodní ceny pro operátory ** Otázkou je, zda se to projeví i na cenách pro zákazníky

Martin Miksa
Konec roaminguMobilní dataEvropská komise
Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

Oppo a OnePlus nesmí v Německu prodávat telefony. Zákaz hrozí i v dalších zemích EU

** Patentové spory většinou ústí k tomu, že jedna z firem zaplatí ** Oppo ani OnePlus však nechtějí platit 2,50 EUR za každý telefon ** Firmy už v Německu nesní prodávat, a to může platit i o dalších trzích

Martin Chroust
NěmeckoPatentSmartphony
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
10 důvodů, proč přejít z iPhonu na Android. Přesvědčí vás tento seznam o změně mobilní platformy?

10 důvodů, proč přejít z iPhonu na Android. Přesvědčí vás tento seznam o změně mobilní platformy?

** Google se snaží přesvědčit uživatele iOS o přechodu na Android ** Vytyčil deset největších důvodů pro změnu platformy ** Nám to však příliš nestačí, spokojíte se s hlavními důvody alespoň vy?

Martin Chroust
GoogleiOSAndroid
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware
Naprogramovali jsme počítadlo cyklistů do lesa. Na dvě tužkovky vydrží Jirkovi celou sezónu

Naprogramovali jsme počítadlo cyklistů do lesa. Na dvě tužkovky vydrží Jirkovi celou sezónu

** Stavíme jednoduché počítadlo lidí na baterii ** Jaké komponenty se nabízejí? ** Zkusíme si to na stavebnici Tower

Jakub Čížek
Pojďme programovat elektroniku
15 praktických tipů a triků pro Mapy.cz, které možná neznáte

15 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme 15 tipů a triků, o kterých možná nevíte

Karel Kilián
Mapy.czMapyTipy