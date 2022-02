Minulý pátek jsme byli svědky prozatím bezprecedentního zásahu proti serverům, které sdružení CZ.NIC „odpojilo“ od internetu. Vznesla se menší vlna diskuse, dokonce o tom byla reportáž v televizi v hlavních vysílacích kanálech. Přestože jde o velice zajímavé téma v oblasti svobody slova, zkusme se podívat na problém především z technologického hlediska, které je neméně zajímavé – i s ohledem na to, že nedlouho poté požádalo o blokování dalších webů Národní centrum kybernetických operací. A v neděli se vyjádřila předsedkyně Evropské komise, že plánuje „vypnout“ státní ruské kanály na území EU.

S internetem je to složité, protože je tvořen soustavou vzájemně propojených „ostrovů“, které disponují vlastní logikou. Fakticky to znamená, že ovládáte jenom spojení ze svého ostrova směrem do okolí a za správného chodu celého ekosystému nemůžete ovlivnit propojení dalších ostrovů. To platí od lokální sítě v domě až po složité distribuované systémy, jako je Facebook nebo Twitter. Problém „jak odstavit Rusko od internetu“ se tak stává velmi obtížný, protože například na spojení mezi Ruskem a Čínou nemáme žádný vliv.

Pokud jste poskytovatel internetu (ISP), můžete ovlivnit prostřednictvím směrování (či filtrace) provoz ve vámi připojených sítích. Pokud uživatelé nemají jiné propojení, tak se na místa, kam vy nechcete, nedostanou. Celkem spolehlivě dokážete zakázat provoz do dalších sítí, ba i na úroveň dalších adres. Bohužel pro ISP i jejich zákazníky je dnes filtrace pomocí IP adres příliš hrubá.

Větší systémy často používají služeb CDN (Content Delivery Networks), které na jedné adrese obsluhují klidně stovky dalších systémů. A těch IP adres je relativně mnoho a zároveň na nich běží spousta různorodého provozu. Takže odstavením těch adres odstavíte i „nevinný provoz“, což je nežádoucí. Podotýkám, že v nechtěně zasažených systémech mohou běžet i služby jako je bankovnictví, které nechcete zasáhnout. Uživatelé CDN také nemohou příliš ovlivnit, s kým jsou na platformě (například se Sputnikem).

Pokud jste dost odvážní, můžete zkusit přesměrovat provoz na sebe tím, že začnete propagovat cílovou síť k sobě (a provoz zahazovat anebo podvrhávat) – říká se tomu unášení prefixů. Něco podobného se občas omylem povede, spektakulárním příkladem byl případ Pákistánského Telecomu, který na sebe přitáhl provoz YouTube. Bohudík se v poslední letech množí počet sítí, které aplikují doporučení MANRS, takže unášení prefixů je v provozně kultivovaném prostředí obtížně realizovatelné.

Druhým zajímavým mechanismem, do kterého je možné zasáhnout, je DNS. DNS je systém, který překládá číselné adresy na adresy lidské. Například z pěkného doménového jména www.háčkyčárky.cz vyrobí adresu 2001:1488:0:3::5 – na kterou jde potom provoz z mého prohlížeče/počítače.

Do systému překladu můžete jako ISP zasáhnout na několika místech. Nejjednodušší je to na DNS serveru (resolveru), který jako ISP provozujete pro své klienty (připojené sítě) anebo veřejně (jako Google 8.8.8.8 nebo Cloudflare 1.1.1.1). V tomto případě je nepříjemné, že uživatelé nemusí spoléhat na vaše DNS resolvery, takže ochranu mohou obcházet. Navíc, při použití protokolu DoH (DNS over HTTPS) je extrémně složité do DNS provozu zasahovat. Pokud je mi známo, tohle řešení používají často ISP pro blokaci stránek o hazardních hrách.

DNS má z hlediska decentralizované správy jedno úzké místo. Je jím správce domény provozující databázi, na kterou se klienti obrací. Každá doména (ať je vaše domácí, nebo třeba .cz) takového správce má. A právě tento správce může provozní databázi pozměnit nebo některé záznamy vypustit. A právě cestou vypuštění některých českých domén se vydal CZ.NIC.

Provozně jde o to, že IP adresy na serverech odpovídají na dotazy, ale webové prohlížeče se na servery nedostanou (pokud klienti neznají přímo IP/IPv6 adresy). Dané řešení je globální a relativně rychlé – tj. záznamy vydrží na klientech jen desítky minut (v závislosti na nastavení zóny). Zároveň se týká celé domény, takže znepřístupníte všechny služby, a je jedno, na kolika serverech běží.

Tohle řešení má také své nectnosti – hlavní problém je v tom, že zablokovaná služba může okamžitě použít jinou doménu – ideálně v jiné jurisdikci, a to prakticky s nulovou latencí. Takže účinnost daného řešení je v dlouhodobém horizontu omezená a pro trvalé zamezení komunikace není úplně praktická. Nicméně je efektivní, pokud chcete znepřístupnit nějaký web (včetně historických odkazů) a zároveň mu ve vyhledávačích zhoršit postavení.

Pro blokování může použít i filtraci na vyšší úrovni (například na úrovni analyzátoru protokolu HTTP/S), nicméně tohle řešení je drahé, zvláště pokud jste větší ISP (ale například Čína používá i tento typ filtrování).

Osobní douška: Musím deklarovat v dané oblasti jistý konflikt zájmů. Před delší dobou jsem byl členem/předsedou dozorčí rady a pak představenstva sdružení CZ.NIC a moje firma je stále jeho členem (bez vlivu na provozní dění).

Fakticky mám za to, že s tím, jak se sdružení CZ.NIC v posledních letech vyprofilovalo z pouhého registru na organizaci, která je partnerem státu v kyberbezpečnosti, je logické, že v čase, který (alespoň já) vyhodnocuji jako hybridní válečný stav, zasáhne proti reprezentantům protivníka.

Daná akce proti těm webům mě obecně netěší, na druhou stranu ji vyhodnocuji jako adekvátní v daném čase a prostoru (tj. například v době covidové krize bych s blokací nesouhlasil, i když na to mám silný jiný názor). A to i s přihlédnutím k faktu, že si provozovatelé dříve či později najdou jinou doménu, odkud budou hlásat svoji pravdu.