Hlavní navigace

Jak si ministerstvo financí představuje blokování webů?

David Slížek

Zatímco se poslanci chystají schválit blokování stránek s nepovoleným hazardem, poskytovatelé připojení varují, že požadavky zákona jsou technicky nesmyslné.

O blokování stránek s nepovoleným hazardem, které má jít ve středu do třetího čtení v Poslanecké sněmovně, jsme na Lupě napsali už hodně. Návrh zákona o hazardních hrách zavádí pro poskytovatele připojení (ISP) povinnost do 15 dnů blokovat weby, které se objeví na seznamu sestaveném ministerstvem financí. Norma ale neřeší jednu důležitou věc: jak blokování zařídit technicky.

První konkrétnější informace získala firma Seznam, která se ministerstva financí na požadovaný mechanismus oficiálně zeptala. Lupa má odpověď zástupce Státního dozoru nad sázkovými hrami a loteriemi na dotazy Seznamu k dispozici (její kopii najdete níže v článku).

Ministerstvo v ní nejdřív konstatuje, že poskytovatelé připojení budou mít nově povinnost blacklist stránek s nepovolenými hrami sledovat a uvedené weby do 15 dnů zablokovat. O zařazení webu na seznam bude úřad rozhodovat ve správním řízení – to se ale nebude týkat jednotlivých ISP, takže provideři nebudou moci do procesu nijak zasahovat.

Co to je „zablokovaný web“

Jak konkrétně mají ISP weby blokovat? Návrh zákona nic konkrétního nestanoví. Podle ministerstva je to schválně, a to „… za účelem zachování flexibility zákona, neboť stěží si lze představit dynamičtější materii, než je internetové prostředí.“ Z hlediska úřadu to má logiku: pokud by zákon popisoval konkrétní metody, jak mají ISP web blokovat, musel by se s největší pravděpodobností často měnit, což není tak jednoduché a dlouho to trvá. Ministerstvo tak uvádí jen to, že:

…z technického hlediska naplnění účelu zákona bude postačující, když se daná webová stránka prostě nezobrazí či se zobrazí informace, že se jedná o blokovaný obsah dle návrhu.

Z hlediska ISP je ale vágnost zákona hodně problematická. Norma neříká, co to vlastně „zablokovat“ web znamená a která z metod je podle zákona dostatečná. Dosáhnout stoprocentního zablokování webu přitom v podstatě není technicky možné – a i jen přiblížit se absolutní blokaci je hodně drahé. Zákon přitom nespecifikuje, jestli bude stačit, když stránku neuvidí třeba 90 % uživatelů. Nebo 75%. Nebo polovina.

„Ministerstvo buďto nemá ani základní představu, jak velký je to zásah do podnikání operátorů, anebo se domnívá, že jsme vybavení nějakou moderní verzí pohádky Oslíčku, otřes se. Požadované blokování je odborně i technicky vysoce náročné,“ komentuje představy úřadu šéf ISP Alliance Jakub Rejzek.

Podle něj existuje několik variant, jak jsou ISP schopní obsah blokovat: „V zásadě to nejde snadno. Znamenalo by to mít speciální HW s firewallem, který by prováděl diagnostiku až na 7. síťové vrstvě OSI. To je velmi drahé zařízení a operátoři s ním obvykle ani nemají důvod disponovat,“ popisuje.

„Další možností je blokování celého rozsahu IP adres, což ale znamená blokování i dalších domén hostovaných na stejné IP adrese. Blokování lze také provádět změnami DNS záznamů. Toto řešení lze ale technicky obejít, umět to bude zákazník i s poněkud vyšší laickou znalostí,“ doplňuje Rejzek.

Doména 3. řádu a URL za lomítkem

Požadovaný rozsah blokování je obecně velmi slabým místem celého návrhu. Ve zmíněné odpovědi Seznamu ministerstvo své představy popisuje následovně:

V současnosti je však jisté, že nezbytná blokace by měla co nejméně zasahovat do legálního obsahu daného webu (z čehož vyplývá, že se nepočítá se zablokováním celého serveru, resp. domény 2. řádu). Obecně lze tedy říci, že se bude blokovat od domény 3. řádu a níže. Adresa hypertextového protokolu může obsahovat konkrétní hru nicméně i za lomítkem – v tomto případě bude blokována adresa za lomítkem. Konkrétní případy se tedy mohou lišit. Pro ISP, potažmo veřejnost, však technický algoritmus blokace nemá valný význam, neboť tuto problematiku bude řešit výhradně Ministerstvo financí.

Pojďme se na to podívat podrobněji. Je určitě dobře, že si ministerstvo uvědomuje, jaké velké škody by mohlo napáchat, kdyby požadovalo blokování celých webů nebo IP adres. Jenže blokování domén 3. řádu v praxi nic neřeší – provozovatel hazardní hry určitě zvládne zřizovat nové domény 3. řádu mnohem rychleji, než je úřad dokáže zařazovat na svůj blacklist.

Také podle Rejzka má provozovatel webu řadu možností, jak blokování obejít: „Třeba dynamickými změnami doménových názvů. Databáze doménových názvů ministerstva bude potom tak obludně velká, že to bude klást ještě vyšší nároky na HW firewallu. Tak drahé řešení někteří finančně neunesou,“ popisuje.

Blokování „adresy za lomítkem“ je přitom ještě složitější. „Řeší to opět firewall na sedmé vrstvě OSI. Otázka je, jak se zabezpečenou komunikací, třeba když hazardní část bude na webu, který bude v zabezpečeném protokolu HTTPS. Potom nebude mít ISP jinou možnost, než blokovat celý web, a tím i nehazardní obsah,“ dodává Rejzek.

Jak obejít blokování

Dosáhnout blokování, které se aspoň blíží k neprůstřelnosti, je přitom pro ISP dost drahé. „Blokování domén 3. řádu si dovedeme představit na resolverech, které provádějí forwarding dál. To technicky zařídit nějakým způsobem možné je. Co se týče blokování podle celé URL, tam si dovedu představit řešení pomocí nějaké transparentní proxy, nicméně otázkou zůstává kapacita a cena takového zařízení a změna designu sítě, kterou si to vyžádá. Kdo to zaplatí? Mluvíme o nákladech v řádu desítek milionů korun. A ani tak ani jedno z těchto řešení nedokáže zajistit naprosto jednoznačné prosazení cíle tohoto zákona. Všechna použitelná řešení lze vždycky nějak obejít,“ uvádí Zbyněk Pospíchal z firmy Dial Telecom.

Jakékoli blokování internetového obsahu je přitom nekonečným bojem, který těžko někdy bude mít vítěze. „Postupem času bude přibývat dalších způsobů, jak blokování obejít. Například speciálními aplikacemi, které nebudou používat sledované protokoly, případně budou hazardní data pro přenos vhodně kryptována,“ říká Rejzek.

V této souvislosti je dobré připomenout jednu formulaci z odpovědi ministerstva. „V současnosti je však jisté, že nezbytná blokace by měla co nejméně zasahovat do legálního obsahu daného webu (z čehož vyplývá, že se nepočítá se zablokováním celého serveru, resp. domény 2. řádu).“ 

Úřad si tak do budoucna ponechává otevřená vrátka, aby mohl své požadavky měnit. A návrh zákona mu poskytuje bianco šek, se kterým může zacházet zcela podle své libosti.

Našli jste v článku chybu?

12. 4. 2016 13:16

HldTrl (neregistrovaný)

A co kdyby třeba stát zakázal zákonem peeringové spoje mezi operátory a veškerý provoz by mohl téct pouze přes státem prozované proxy s cenzurním filtrem, ke kterým by se uživatelé museli hlásit osobním loginem vydaným novým úřadem pro internet, kam by bylo potřeba každý měsíc zajít změnit si heslo. Provoz proxy serverů by zajisté dokázala zajistit česká pošta,která by provedla outsourcing autocontu a těch 150, 200 miliard na realizaci by se získalo vydáním státních dluhopisů (jak jinak).

12. 4. 2016 12:40

Honza (neregistrovaný)

Stačilo by jen zablokovat Babiše. Ideálně nedemokratické odstranění...

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

DigiZone.cz: Sat novinky: Je tu Sky Sport News HD

Sat novinky: Je tu Sky Sport News HD

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět