Telefonica O2 má kvůli pornu problémy s připojením

Czech Internet Forum nabídne panel Je filtrování obsahu správným způsobem boje proti dětské pornografii?, do kterého jsem byl pozván. Protivníky bude Telefónica O2, Vodafone a Safer Internet, takže je více než jasné, že jsem jediný, kdo bude nahlas tvrdit, že filtrování obsahu je scestným způsobem boje proti dětské pornografii. A protože je vhodné si předem utřídit myšlenky, nabídnu je předem. Jde totiž o dost zásadní věci.

Připomeňme si fakta a malou historii. Internet Watch Foundation je netransparentní a nedůvěryhodná organizace, která udržuje tajný seznam webových adres. Na těch se má sice nacházet dětská pornografie, ale ve skutečnosti se do seznamu pravidelně dostávají adresy, které tam nemají co dělat.

Nejvíce známý je případ blokování Wikipedie, který se v Británii stal ukázkou toho, že plošné a povinné blacklisty nemají na Internetu co dělat – pro Brity totiž tamní ISP zablokovaly nikoliv škodlivý obsah, ale místy celou Wikipedii, místy některé stránky. A skutečně škodlivý obsah, ve skutečnosti neškodný obrázek alba hudební nahrávky, zablokovat nedokázali. Méně známá je kauza blokování Internet Way Back Machine archive, kde se IWF podařilo zablokovat i archivní stránky (například) Microsoft.com (viz Brit port filter censors 13 years of net history).

Z řady dalších příkladů si můžete udělat dostatečný obrázek o tom, že IWF není schopné udržovat obsah takový, který by skutečně byl dětskou pornografií. A v souvislosti s IWF je zde ještě několik dalších velmi problematických aspektů:

• Britská organizace diktuje suverénním zemím vlastní představy o tom, co je legální a co není.
• Neexistuje žádný mechanismus, jak se pomýlenému zařazení na blacklist bránit.
• Hlídače nikdo nehlídá a na seznam je tak možné zařadit cokoliv, prostě jenom proto, že se „cenzor“ špatně vyspal.
• O zablokování stránek/webů se poškozený nemá šanci nijak dozvědět.
• IWF nedokáže rozlišit mezi blokováním konkrétní URI a na seznamu se běžně objevují celé weby.
• Skutečně závadný obsah vede k zablokování hostingových systémů či služeb na sdílení souborů.

Příkladů toho, že stát se nemá míchat do kontroly obsahu na Internetu, je dostatek. 3863 sites on censorship list, Feb 2008 je další dobrý příklad toho, jak se blokování nepovedlo v Dánsku. A Leaked Australian blacklist reveals banned sites poukazuje na velmi závažný aspekt, ke kterému se ještě vrátím.

Malé české problémy

V našem malém českém rybníce už máme s IWF blacklistem také dostatek zkušenosti. Paradoxně to aktuálně vypadá, že minimálně Telefónica O2 musela pokusy s blacklistem pozměnit. Tedy alespoň v tom ohledu, že už nezobrazuje populární stránku o zablokování obsahu. Místo toho falšuje záznamy v DNS a vrací 192.168.10.26 – můžete si to eventuelně zkusit na jedné adrese – offlolita.org – o její dostupnosti z různých částí světa si můžete udělat představu zde … někde to zjevně blokují a někde ne. A tam, kde ji blokují (Švédsko, USA), vrací DNS také zmíněnou adresu.

Z několika zdrojů mám ověřeno, že masivní výpadky DNS, které Telefónicu O2 postihly několikrát za uplynulé měsíce, byly způsobeny právě snahou implementovat IWF řešení do sítě. A výpadky DNS měly očekávatelnou souvislosti s problémy se zahraniční konektivitou. Nejde o nic jiného, než o další ukázku toho, že plošně nasazované filtrování naráží na technická omezení.

• Operátoři nedokáži nasadit transparentní proxy nebo filtraci IP adres na úrovni routerů tak, aby zachovali stabilitu sítě.
• Ztráta konektivity na mateřskou databázi vede po určité době k selhání celého řešení a následnému výpadků DNS serverů.

V české praxi se ale projevila i nefunkčnost blacklistu v podobě blokování neškodných stránek. Radim Hasalík například otevřeným dopise žádal Vodafone o vysvětlení blokování Pavel Francírek: Za Xchat.cz po nás chtělo NetCentrum 13 miliónů. Stejně tak jako ho zajímalo, proč blokuje části jeho webu (v totálně nečitelném videu na Stream.cz to najdete v Vodafone cenzuruje část mého firemního webu).

Je těžko představitelné, že by se na IWF opravdu octly tak naivní „firemní“ stránky jako Hasalik.cz. A ještě hůř je představitelné, že by IWF blokovalo článek na 30minut.cz. Ve skutečnosti je zde vidět další ukázka zásadního problému plošné blokace:

• Do blacklistu mohou místní operátoři přidávat cokoliv a stejně jako u originálu neexistuje obranný mechanismus, kontrola ani možnost zjistit, jestli jste se nestali obětí něčí zlé vůle či vtipného konání.

Velké politické téma, selhávají tradiční mechanismy

Malé české problémy jsou bohužel příliš malé pro české zákazníky operátorů (česká povaha „chovat se jako ovce“ bohužel napomáhá ignorování závažného problému) a boj proti dětské pornografii je zaklínadlo, které umožňuje dělat cokoliv.

Je samozřejmě jednodušší zavést plošnou cenzuru Internetu. V konečné fázi se totiž může hodit pro umlčování nevhodného obsahu, který rozhodně nemá nic společného s dětskou pornografií. V praxi se tomu už tak ostatně děje, na IWF blacklistu se pravidelně ocitají weby a stránky, které kritizují IWF. Nakonec IWF je jenom „nějaká“ soukromá firma, takže si může dělat co chce. A ti, co používají její blacklist? Nezodpovědné chování, pohrdání zákazníky, ignorování základních lidských svobod.

Plošná cenzura je totiž paradoxně jednodušší, než správné řešení. Tím by byl skutečný boj proti dětské pornografii. Problém se neřeší, pouze se skrývají jeho viditelné projevy – nevidím zlo, neslyším zlo. Zájemci o dětskou pornografii přitom podobné blokace nezastaví – použijí jiné DNS servery, koupí si zabezpečený tunel skrz zemi, kde podobné nápady nemají. Anebo, což je aktuálně daleko podstatnější – nebudou hloupí a dětskou pornografii nebudou stahovat na webu. Od toho mají privátní sítě, P2P sítě a velmi dobře vybudované služby, které jim dávají, co chtějí.

Jenže právě tady platí, že stát a jeho výkonné složky jsou informačně negramotné, hloupé a kontraproduktivní (stačí se podívat na datové schránky). A nejméně informačně a technologicky schopné jsou složky policejní (ano, T602 je stále používaný editor a notebooky a počítače přinesené z domova jsou tím nejlepším, co někteří policisté mají k dispozici).

Problém dětské pornografie je nutné řešit tam, kde to začíná, tedy tam, kde vznikají fotografie, videa a další materiály. A následně u těch, co podobné zvěrstvo vyhledávají, kupují a využívají. Nikoliv tím, že na existenci takové skupiny bude doplácet většina populace. V praxi je současné řešení podobné tomu, kdy by populace nesměla v peněžence nosit víc než 50 korun, protože není možné zlikvidovat riziko okradení na ulici (ano, přeháním, vím).

Už jsem to ale naznačil, zavedení plošné cenzury je ideální příležitost, jak dostat Internet opět pod kontrolu vlády a později, až to bude někdy potřeba, mít možnost, jak si vynutit poslušnost a nechat přístupné jenom to, co vyhovuje oficiálnímu názoru. Čína a některé státy to dělají otevřeně, zatímco „vyspělý demokratický svět“ se bouří. A ten „vyspělý demokratický svět“ dělá totéž, jenom se zaštiťuje „vyššími“ zájmy.

Bohužel podobné aktivity jsou i na evropské úrovni (hezký celosvětový přehled viz Censors of the Net, případně OpenNet Initiative nabízející velmi zajímavou interaktivní mapu). A nic není platné, že například francouzský soud prohlásil, že přístup k Internetu je základní lidské právo (French Court: Internet Access ‚Basic Human Right‘), aby vzápětí Francie i EU nakonec prosadily princip odpojování „pirátů“ od Internetu. Mimochodem stejně tak zcestná záležitost jako filtrace „dětské pornografie“. Nic ani není platné, že téměř tři čtvrtiny české populace nesouhlasí s regulací Internetu (viz zde na SPIR.cz). Máme přece parlamentní demokracii, takže co je komu do názoru lidí.

Drzost operátorů nezná mezí

O2 je oprávněna zamezit šíření dat, které Účastník šíří v rozporu se Všeobecnými podmínkami, Provozními podmínkami, obecně závaznými právními předpisy České republiky nebo s dobrými mravy. O2 je oprávněna zamezit Účastníkovi přístup k internetovým stránkám na určitých serverech sítě Internet s nelegálním obsahem nebo obsahem odporujícím dobrým mravům.je od 1.srpna 2009 nová typicky cenzorská klauzule v podmínkách u Telefónica O2 (PDF).

Je to tak, Telefónica O2 se přidala k společnostem, které si do smluvních podmínek vkládají klauzule, které nemají žádnou právní oporu. Kdykoliv vám mohou vypnout ADSL, protože se někdo rozhodl, že „konáte v rozporu s dobrými mravy“. Teoreticky je v rozporu s dobrými mravy i to, že tvrdím, že cenzura Internetu coby boj proti dětské pornografii je zhovadilost. Tečka.

A zákazníci? Nechají si pochopitelně všechno líbit. A ochránci lidských práv? Mlčí.

Telefónica O2 samozřejmě není sama, povšimněte si například toho, co v roce 2008 prohlásil Vodafone:

Pokud kterýkoli z uživatelů Vodafone přistoupí na stránku, kterou dosud systém nevyhodnocoval, projde speciální obsahovou analýzou. Pokud stránka spadne do kategorie nelegální či nevhodné, systém ji do 48 hodin do databáze přidá.

Osobně mám za to, že je opravdu děsivé, pokud operátor analyzuje obsah stránek, na které zákazníci vstupují. A náhle můžete zjistit, že se někomu znelíbila stránka, kam jste chodili.

A abych nenechal ani nit suchou, zde je aktuální ukázka toho, jak to vypadá u T-Mobile, pokud někdo z jejich firemní sítě bude chtít číst články na mém blogu.

Ano, www.pooh.cz je blokován coby „Adult/Sexually Explicit“ web. Důvodem je samozřejmě (roky starý) neškodný seriál (ještě ze Světa Namodro) SEX Průvodce. Jako příklad toho, že blokovat je možné prakticky cokoliv, to snad postačí.

Blacklist funguje přesně opačně, je zdrojem adres

Nejzábavnější na celém blacklistu je ale něco zcela jiného. Můžete se to dočíst v Cambridge researcher Richard Clayton's slides on the Internet Watch Foundation, May 2009 a také si stáhnout PDF (IWF, Wikipedia and the "Wayback Machine), které jasně ukazuje, že existence blacklistu je ve skutečnosti pomůcka pro pedofily.

Není nic těžkého využít existence filtrace k zjištění blokovaných adres. Richard Clayton (mimochodem velmi zajímavý člověk, www.lightblue­touchpaper.org stojí za hlubší zkoumání) ve své studii ukazuje, že mu na to stačí pár dní na běžné ADSL lince. A v zmíněném PDF nabízí nějaké další domény, které můžete použít jako výchozí ke svému zkoumání.

• Každý blacklist je dříve nebo později možné použít přesně k opačnému účelu.

Pokud budete chtít něco podobného zkoumat, tak jenom připomenu, že Čína má s blokováním Internetu ty nejlepší zkušenosti. A díky tomu můžete například využít takové skvělé služby jako Website Test behind the Great Firewall of China. A hodit se může i Watch Mouse či Just Ping.

Možnost „reverzního inženýrství“ je samozřejmě dána mechanismy blokace. Požadavek na IP adresy či stránky se setkává s různými odmítavými stanovisky. A zde je potřeba upozornit i to, že technická řešení se liší – někde může jít o vypršení paketů do ztracena (čínská blokace to tak například dělá), dodání změněné IP adresy, dodání rozdílného obsahu, falešnou 404 stránku, přesměrování. Ve všech případech je samozřejmě diskutabilní, jak něco takového ladí s principy síťové neutrality a nakolik jsou některé z takovýchto aktivit legální.

Blacklisty nakonec stejně nefungují

Když Telefónica O2 nasadila první verzi filtrace, spoléhala se na používání DNS serverů – v praxi to znamenalo, že filtrace fungovala na úrovni IP – dostali jste jinou IP (a děje se to nejspíš i teď) a teprve poté se nějaký webový server postaral o poskytnutí odmítavé stránky. A v praxi to také znamenalo, že stačilo přestat používat (chronicky nespolehlivé) jmenné servery Telefónica O2 – OpenDNS je, bylo a bude široce použitelné pro masy. A ti zkušenější si mohou rozeběhnout DNS server na vlastním počítači a ptát se po IP adresách přímo primárních a sekundárních jmenných serverů.

Pokročilejší verze filtrace (nasazená například v Británii, kde vedla k blokování obsahu webu BBC) se spoléhá na transparentní proxy – analyzuje http komunikaci a podle URI rozhoduje zda povolí průchod skrz. Mimo velké technické nároky a následná selhání (přetížení) se objevil i další humorný aspekt – URI stačilo zpravidla pozměnit přidáním parametrů (místo adresa.com/obra­zek.jpg například adresa.com/obra­zek.jpg?cokoliv) a filtr nepochopil, že jde o něco co má blokovat.

Další z filtrací spočívající v databází „podezřelých“ IP adres na routerech je samozřejmě složitější k překonání – router při zjištění podezřelé IP adresy předá další komunikaci serveru, který (opět) analyzuje komunikaci a pokud jde o přístup k podezřelé adrese, tak ji zablokuje. Takovéto řešení má samozřejmě opět dopad na provoz sítě operátora. A v konečné fázi se dá samozřejmě obejít – stačí používat anonymizéry, které to zpravidla neumí poznat. A pokud by ano, tak je zde stále možnost pořídit si za pár dolarů měsíčně bezpečný tunel někam do horoucích pekel a k daným webům přistupovat z úplně jiné země.

Ochrana dětí v počítačích (prohlížečích)

Blacklisty jsou nepoužitelné, praxe to nakonec ukazuje. Státní správa a příslušné orgány jsou technologicky pozadu za producenty dětského porna a průměrný spotřebitel podobného svinstva je taky nejspíš hravě strčí do kapsy. Takže zbývá ještě jedna věc, kterou je možné zvažovat – ochranu proti přístupu k nevhodným webům v prohlížeči.

• Chránit děti před nevhodným obsahem mají hlavně rodiče

Čistě teoreticky je to přece ta nejjednodušší věc. Takže bych například očekával, že www.saferinter­net.cz bude na předním místě obsahovat návod, jak v prohlížečích nastavit dětské zámky. Neobsahuje. Pochopitelně. A vlastně ani moc nemůže, protože dětské zámky v prohlížečích nejsou realisticky použitelné – když jsem se pokoušel něco takového v praxi nastavit, prostě se to nedalo. Zásadní princip totiž umožňoval pracovat pouze s množinou povolených webů – ale už jenom vstup na Centrum.cz znamenal neustále doplňování dalších a dalších „povolených“ adres. Systém „smí pouze na weby se správnými meta informacemi“ je také nepoužitelný (RSACi).

Přitom myšlenka je správná – nastavit dítěti takové prostředí, ve kterém se může bezpečně pohybovat. A nejde přitom ani tak o dětskou pornografii – problém jsou viry stejně tak jako setkávání se s nevhodnými lidmi na chatech a další věci. A obecně trávení času na Internetu vůbec. Nakonec nezbývá než to vzdát. Nebo nedovolit dětem přístup na Internet vůbec.

Anebo se zeptat, proč tolik úsilí a peněz věnovaných na blacklisty, cenzuru a podobné věci není věnováno na doplnění použitelných technologií do prohlížečů.

• Největší nebezpečí na Internetu pro děti ve skutečnosti představují viry. Zastánci cenzurního boje proti dětské pornografii mě ani po letech nepřesvědčili. Opakované odstraňování virů zavlečených dětmi do počítačů je silnější argument.

Závěr

Ano, na závěr trochu přeháním. Dětská pornografie a vůbec otázka bezpečí děti na Internetu není věc vhodná k podceňování – bohužel sami bojovníci z toho stihli udělat frašku. Nepotřebujeme bojovat proti nějakému obrázku, které dítě na Internetu uvidí.

Potřebujeme bojovat proti lidem, kteří děti budou na Internetu chtít zneužít. A nemusí to být zrovna pedofilové. A tuto skutečnost úspěšně ignorujeme. Ono je ale opravdu daleko výhodnější zavést plošnou cenzuru. Může se totiž hodit pro spoustu dalších věcí.