Tak to zablokujme v DNS. Nebo ne?

23. 12. 2016
Doba čtení: 4 minuty

Sdílet

Poměrně nedávno se v prostorách FIT ČVUT uskutečnila schůzka zástupců ministerstva financí s internetovou komunitou. Jako člověk, který stál u zrodu iniciativy Přichází cenzor, jsem pochopitelně nemohl chybět.

Dlužno podotknout, že argumentace se logicky příliš nelišila od vyjádření vlády pro Ústavní soud, kterou včera na Lupě velmi pěkně rozebíral David Slížek. Přítomné hosty především z ISP komunity pochopitelně nejvíce zajímalo, jakým způsobem tedy budou muset blokovat.

Na to zástupci ministerstva neodpověděli jednoznačně, ale po delší vyměně názorů prezentovali čtyři akceptovatelné metody. Šlo o:

  • aplikační firewall,
  • hardware – ano, takto skutečně tu variantu nazvali, ale z diskuse pak vyplynulo, že je myšleno deep packet inspection,
  • blokování IP adres,
  • blokování na úrovni lokálního DNS.

Čtenářům tohoto blogu pochopitelně nemusím připomínat, že první varianta je v podstatě nerealizovatelná, protože by vyžadovala součinnost všech uživatelů. Druhá varianta je velmi nákladná a stejně neřeší v dnešní době běžně používané šifrování protokolem https. A u třetí a čtvrté varianty pochopitelně hrozí, že bude blokováno mnohem více než jen konkrétní internetová stránka (tedy, jak jsme se již dříve dozvěděli, v podstatě URL). To je pochopitelně velmi závažné a sám tento fakt by si asi zasloužil rozebrat v samostatném článku, ale zůstaňme dnes pouze u technických aspektů a nepouštějme se do roviny právní.

A ještě pochopitelně žádná z variant nebude účinná, pokud uživatel vhodně použije proxy server či VPNku. Měl jsem k tomu ještě jednu poznámku, že některé větší firmy nevyužívají služeb českých ISP a mají přímé linky do zahraničí, typicky do své centrály, odkud jsou teprve připojeny do Internetu (a mimochodem, například i CZ.NIC má své přímé napojení do zahraničí a pevně věřím, že poskytovatelem připojení není). V těchto případech bych očekával, že na takovéto subjekty se tato legislativa prostě nevztahuje a tedy jejich zaměstnanci budou moci služeb nepovolených loterijních her běžně využívat.

Asi největší radost u zástupců ISP vyvolala čtvrtá varianta, protože usoudili, že implementovat blacklist do lokálních DNS serverů bude znamenat relativně málo nákladů. Jako člověk, který se ve světě DNS pohybuje poměrně dlouho, mám k tomuto řešení poměrně hodně poznámek. Pokud se bavíme o DNS, tak o to podivněji se v tomto světle jeví nikterak definovaný pojem poskytovatel připojení. Totiž poskytovatel připojení a poskytovatel DNS, to jsou rozhodně velmi rozdílné pojmy.

Ale v čem jsou hlavní problémy? Protokol DNS je poměrně zrádný, protože už ze své definice používá proxy servery. Tedy uživatel může využívat služeb DNS resolveru, který pro něj celou službu zajišťuje. Pochopitelně je na libovůli uživatele, jaký DNS server si zvolí. ISP mu sice může nějaký nabídnout (například přes DHCP), ale uživatel tím není nijak vázán. Mimochodem, není ani vázán k tomu využívat tuto službu v sítí daného ISP či na území svého domovského státu. V tomto kontextu je velmi zajímavý výzkum Geoffa Hustona z APNICu, který měří, kolik procent uživatelů používá DNS resolvery mimo území svého domovského státu. Na webu apnic.net se můžete přesvědčit, že přibližně čtvrtina Čechů používá DNS mimo ČR, dominuje pochopitelně Google se 14 %, ale například 4 % uživatelů svěřuje tuto službu poskytovatelům DNS v Nizozemí. Lze tedy říci, že bude-li jako způsob blokace zvoleno lokální DNS, tak čtvrtina uživatelů z této regulace unikne.

Jenže ono to bude ve skutečnosti mnohem více. Geoff totiž pouze ukazuje uživatele používající zahraniční DNS, nikoliv uživatele, kteří nepoužívají lokální DNS server svého ISP. Existují lidé, kteří používají jiné otevřené resolvery, jako například ty od CZ.NICu. A pak pochopitelně existuje obrovská skupina uživatelů, kteří mají své vlastní resolvery. Jde o mnohé firmy a instituce, které mají připojení přes nějakého ISP, ale mají vlastní infrastrukturu včetně DNS serverů. Ale může pochopitelně jít i jednotlivce, kteří třeba doma na své lokální přípojce mají router s integrovaným DNS resolverem. Takovými zařízeními jsou třeba routery od CZ.NICu – Turris či Turris Omnia. Z dat autoritativních DNS serverů pro domény .cz lze vyčíst, že na IP adresách registrovaných na území České republiky fungují tisíce DNS resolverů, což pochopitelně značně převyšuje počet subjektů, jež by bylo (i s určitou velkou kreativitou) možné označit za ISP.

To nám otvírá jen celou řadu dalších otázek. Bude poskytovatel DNS provozující službu na území ČR povinen respektovat seznam ministerstva financí? Ale jak to má dělat, když jeho služby využívají zahraniční uživatelé? Konkretním příkladem jsou již zmíněné rekurzivní servery CZ.NICu. Co v případě, že ISP využívá DNS servery své zahraniční matky/sestry? Má řešit blokování majitel restaurace, který svým hostům nabídl připojení přes Wi-Fi a pravděpodobně ani netuší, zdali jeho router má vlastní nezávislý DNS resolver? Trochu se bojím, že by tyto otázky mohl někdy v budoucnu řešit až soud.

Pak mě pochopitelně ještě napadá, zda je moudré odhánět uživatele od používání lokálních DNS serverů. Pouze to pochopitelně znamená závislost na nějaké další službě, a co z toho může vyplynout, jsme se například přesvědčili u výpadku služeb firmy Google. Používání vzdálených DNS resolverů prostě přináší nová rizika z pohledu stability a hlavně bezpečnosti služby.

No a poslední otázka, která mě napadá – když to nebude fungovat, jaký to má smysl? Tak jen doufejme, že u Ústavního soudu uspěje návrh na zrušení části zákona a nebude nutné tyto složité otázky rozhodovat.

bitcoin školení listopad 24

Přeji vám klidné a ničím neblokované Vánoce.

Článek původně vyšel na blogu CZ.NIC.

Autor článku

Ondřej Filip vystudoval Matematicko-fyzikální fakultu Univerzity Karlovy a působí jako ředitel organizace CZ.NIC. Ve volném čase hraje basketbal, cestuje nebo programuje open-source software.