Národní centrum kybernetických operací (NCKO), které provozuje Vojenské zpravodajství, žádá v souvislosti s útokem na Ukrajinu blokaci až několika desítek webů. Tento krok by měl navázat na včerejší a technicky mnohem jednodušší odstavení několika tuzemských domén ze strany CZ.NIC.
Smazání domény je nicméně relativně jednoduché, protože ty národní (.CZ) jsou vždy spravované místní autoritou. Jak ale zablokovat třeba takový ruský Sputnik, což požaduje i NCKO? Obecných možností je hned několik, až na výjimky ale není ani jedna z nich absolutní.
Odstavení hostingu
Stejně jako CZ.NIC spravuje české domény .CZ a má nad nimi tedy plnou moc, mohl by podobným způsobem při splnění právních podmínek skončit jakýkoliv webový server, který k ukládání vlastních dat používá infrastrukturu některé z českých hostingových společností. To ale nebude případ zahraničního Sputniku a také mnoha dalších webů na seznamu, které mají servery v zahraničí.
SSH terminál mého Ubuntu na Oracle Cloudu v amsterdamském datovém centru. Kdybych zde hostoval problematický obsah, mohu o vše z moci úřední přijít
DNS blokace ze strany operátora
Druhou a ve světě i u nás zdaleka nejčastější metodou je odstavení webu skrze jeho doménu a DNS odpovídač tuzemského internetového operátora. Podobným způsobem se v zahraničí blokuje třeba The Pirate Bay a u nás už roky stránky, které se dostaly na nechvalně proslulý blacklist nepovolených internetových her Ministerstva financí ČR.
Princip je prostý. Pokud by uživatel internetu používal DNS server svého operátora, ten při dotazu: „Jaká IP adresa patří pro doménu cz.sputniknews.com?“ neodpoví číslem 178.248.236.242, ale může druhou stranu přesměrovat na vlastní stránku s vysvětlením, proč je ruský web z moci úřední zablokovaný.
Moje domácí síť používá DNS od Cloudflaru, pokud tedy ISP zablokuje jakoukoliv doménu skrze vlastní infrastrukturu, vůbec si toho nevšimnu
Mimochodem, doménový systém na tyto případy pamatuje i ve své specifikaci RFC-7725, která popisuje chybový kód 451, tedy HTTP/1.1 451 Unavailable For Legal Reasons. O samotnou interpretaci se pak může postarat přímo webový prohlížeč, jak to známe i u tolik typické chyby 404, která informuje o tom, že kýžená stránka neexistuje.
Má to jeden háček. Každý zkušenější uživatel si může nastavit jiný DNS server, který se bude ptát na překlad domén na IP adresy. Nikdo nemá žádnou povinnost používat ten, který mu zpravidla automaticky po navázaní spojení skrze DHCP přidělí operátor.
DPI a odposlech DNS
ISP by tedy mohl ještě implementovat některé techniky z ranku DPI (Deep Packet Inspection) a mohl by se ponořit ještě o něco hlouběji. V masovém měřítku se to ale zpravidla neděje, protože je to drahé, náročně a operátor by se mohl právem ptát, kdo mu zaplatí případné náklady na implementaci takto pokročilé technologie.
Moje domácí síť provádí DNS dotazy šifrovaně (TLS), operátor je proto nemůže snadno odposlouchávat
Operátor by mohl například odposlouchávat dotazy na cizí DNS servery, no a pokud by se v nich objevil opět Sputnik, spojení ukončí a odpoví stejným způsobem jako v předchozím případě.
Jenže tu už nějaký pátek máme pokročilou bezpečnostní funkci šifrovaného dotazování na DNS: DNS over TLS/HTTPS (DoT/DoH). Tento způsob by proto také nefungoval.
DPI a kompletní odposlech protokolu HTTP
Stejně tak by mohl operátor alespoň teoreticky blokovat přímo HTTP komunikaci nehledě na doménu. Když se v ní objeví HTML kód Sputniku, spojení ukončí. Jenže se nepíše rok 2005, ale 2022 a i přenos na protokolu HTTP je dnes ve většině podobných případů šifrovaný skrze technologii HTTPS.
Většina HTTP spojení v prohlížeči Chrome je dnes už šifrovaná (Google Transparency Report)
Ne že by to nemělo řešení, máme zde nejrůznější techniky fingerprintu šifrovaného obsahu, ale opět je třeba zopakovat, že v masovém měřítku by to bylo technologicky náročné, drahé a nejspíše i neefektivní. Náruživí čtenáři Sputniku si ho totiž načtou tak jako tak třeba skrze VPN, Tor aj.
Blokace na úrovni IP
Na závěr máme ještě jednu obecnou možnost. Nemusíme blokovat doménu a nemusíme ani analyzovat příchozí a odchozí pakety, ale jednoduše zablokujeme veškeré pokusy o navázaní komunikace s konkrétní IP adresou. IP adresou serveru Sputnik.
I tato technika se mnohdy používá, nicméně sebou nese jedno zjevné riziko. Za jednou IP adresou se nemusí skrývat jen jeden jediný webový server Sputniku, ale i hromada dalších aplikací, které s ním nemají nic společného.
Stručně řečeno, tento postup se může snadno proměnit v kobercový nálet a v minulosti už k němu došlo mnohokrát třeba v případě blokace IP adres CDN služeb typu Cloudflare.
Dokonalá blokace je fikce
Podobné pokusy o výmaz webu z místního internetu proto mají své technické limity a jedná se spíše o symbol a gesto. Své o tom ostatně vědí i v Číně, která má s omezováním internetu nejspíše zdaleka nejbohatší zkušenosti ze všech. Nechvalně proslulý Velký čínský firewall je ale i tak děravý jako ementál a obejde jej kdejaké vpnko.
Nejlepší a v podstatě jedinou spolehlivou zbraní proti Sputniku a jemu podobným je proto prosté uvědomění, že je jeho četba vážně úplná pitomost.
