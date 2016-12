Poměrně nedávno se v prostorách FIT ČVUT uskutečnila schůzka zástupců Ministerstva financí ČR s internetovou komunitou k novému zákonu, který dává úřadu pravomoc nechat zablokovat weby s nepovolenými hazardními hrami.

Jako člověk, který stál u zrodu iniciativy prichazicenzor.cz, jsem pochopitelně nemohl chybět a velmi jsem se těšil, kam se uvažování zástupců ministerstva posunulo. Dlužno podotknout, že argumentace se logicky příliš nelišila od vyjádření vlády pro Ústavní soud, kterou včera na Lupě velmi pěkně rozebíral David Slížek.

Přítomné hosty především z ISP komunity pochopitelně nejvíce zajímalo, jakým způsobem tedy budou muset blokovat. Na to zástupci ministerstva neodpověděli jednoznačně, ale po delší vyměně názorů prezentovali čtyři akceptovatelné metody. Šlo o:

aplikační firewall

hardware – ano, takto skutečně tu variantu nazvali, ale z diskuse pak vyplynulo, že je myšleno deep packet inspection

blokování IP adres

blokování na úrovni lokálního DNS

Čtenářům tohoto serveru pochopitelně nemusím připomínat, že první varianta je v podstatě nerealizovatelná, protože by vyžadovala součinnost všech uživatelů. Druhá varianta je velmi nákladná a stejně neřeší v dnešní době běžně používané šifrování protokolem https. A u třetí a čtvrté varianty pochopitelně hrozí, že toho bude blokováno mnohem více než jen konkrétní internetová stránka (tedy jak jsme se již dříve dozvěděli, v podstatě URL). To je samozřejmě velmi závažné a sám tento fakt by si asi zasloužil rozebrat v samostatném článku, ale nepouštějme se dnes do roviny právní a zůstaňme pouze u technických aspektů.

Žádná z variant pochopitelně nebude účinná, pokud uživatel vhodně použije proxy server či VPNku. Měl jsem k tomu ale ještě jednu poznámku: některé větší firmy nevyužívají služeb českých ISP a mají přímé linky do zahraničí, typicky do své centrály, odkud jsou teprve připojeny do internetu. (A mimochodem, například i CZ.NIC má své přímé napojení do zahraničí a pevně věřím, že poskytovatelem připojení není.) V těchto případech bych očekával, že na takovéto subjekty se nová legislativa prostě nevztahuje a tedy jejich zaměstnanci budou moci služeb nepovolených loterijních her běžně využívat.

Poskytovatel DNS nemusí být ISP

Asi největší radost u zástupců ISP vyvolala čtvrtá varianta, protože usoudili, že implementovat blacklist do lokálních DNS serverů bude znamenat relativně málo nákladů. Jako člověk, který se ve světě DNS pohybuje poměrně dlouho, mám k tomuto řešení poměrně hodně poznámek. Například: pokud mluvíme o DNS, tak se o to podivněji jeví v zákoně nedefinovaný pojem poskytovatel připojení. Totiž – poskytovatel připojení a poskytovatel DNS, to jsou rozhodně velmi rozdílné pojmy.

Ale v čem jsou hlavní problémy? Protokol DNS je poměrně zrádný, protože už ze své definice používá proxy servery. Uživatel tedy využívá služeb DNS resolveru, který pro něj celou službu zajišťuje. Pochopitelně je na vůli uživatele, jaký DNS server si zvolí. ISP mu sice může nějaký nabídnout (například přes DHCP), ale uživatel tím není nijak vázán. Mimochodem, není ani vázán k tomu využívat tuto službu v síti daného ISP či na území svého domovského státu.

V tomto kontextu je velmi zajímavý výzkum Geoffa Hustona z APNICu, který měří, kolik procent uživatelů používá DNS resolvery mimo území svého domovského státu. Podle něj přibližně čtvrtina Čechů používá DNS mimo ČR, dominuje pochopitelně Google se 14 %, ale například 4 % uživatelů svěřuje tuto službu poskytovatelům DNS v Nizozemí. Lze tedy říci, že bude-li jako způsob blokace zvoleno lokální DNS, tak čtvrtina uživatelů z této regulace unikne.

Jenže ono to bude ve skutečnosti mnohem více. Geoff totiž ukazuje pouze uživatele používající zahraniční DNS, nikoliv uživatele, kteří nepoužívají lokální DNS server svého ISP. Existují lidé, kteří používají jiné otevřené resolvery, jako například ty od CZ.NICu. A pak pochopitelně existuje obrovská skupina uživatelů, kteří mají své vlastní resolvery. Jde o mnohé firmy a instituce, které mají připojení přes nějakého ISP, ale mají vlastní infrastrukturu včetně DNS serverů. Ale může pochopitelně jít i o jednotlivce, kteří třeba doma na své lokální přípojce mají router s integrovaným DNS resolverem. Takovými zařízeními jsou třeba routery od CZ.NICu – Turris či Turris Omnia.

Na IP adresách registrovaných na území České republiky tak fungují tisíce DNS resolverů. Jen těch, které vidíme denně na našich autoritativních DNS serverech, je kolem 8 tisíc. Pokud budeme počítat stejné číslo za měsíc (započítáme tedy i málo aktivní resolvery), je to přibližně 12 tisíc. Myslím tedy, že o 10 tisících resolverech se dá mluvit s jistotou. To pochopitelně značně převyšuje počet subjektů, jež by bylo (i s určitou velkou kreativitou) možné označit za ISP.

To nám otvírá jen celou řadu dalších otázek. Bude poskytovatel DNS provozující službu na území ČR povinen respektovat seznam Ministerstva financí ČR? Ale jak to má dělat, když jeho služby využívají zahraniční uživatelé? (Konkrétním příkladem jsou již zmíněné rekurzivní servery CZ.NICu.) Co v případě, že ISP využívá DNS servery své zahraniční matky/sestry? Má řešit blokování majitel restaurace, který svým hostům nabídl připojení přes Wi-Fi a pravděpodobně ani netuší, zda jeho router má vlastní nezávislý DNS resolver? Trochu se bojím, že by tyto otázky mohl někdy v budoucnu řešit až soud.

Pak mě pochopitelně ještě napadá, zda je moudré odhánět uživatele od používání lokálních DNS serverů. Pochopitelně to znamená závislost na nějaké další službě a co z toho může vyplynout, jsme se například přesvědčili u nedávného výpadku služeb firmy Google. Používání vzdálených DNS resolverů prostě přináší nová rizika z pohledu stability a hlavně bezpečnosti služby.

No a poslední otázka, která mě napadá – když blokování nebude fungovat, jaký má vlastně smysl? Tak jen doufejme, že u Ústavního soudu uspěje návrh na zrušení části zákona a nebude nutné tyto složité otázky rozhodovat. Přeji Vám klidné a ničím neblokované Vánoce.