Cenzura prometa na stranska vrata?

Državni zbor RS je pred kratkim sprejel spremembe Zakona o igrah na srečo, ki med drugim dodajajo tudi tole v 107. člen:

Če nadzorni organ pri izvajanju nadzora ugotovi, da se prirejajo spletne igre na srečo brez koncesije vlade, lahko ponudniku storitve informacijske družbe naloži omejitev dostopa do spletnih strani oziroma drugih telekomunikacijskih povezav, preko katerih se take igre prirejajo.

Vsem, ki vas zanimajo pravne implikacije in družbena primernost uvajanja takšnih ukrepov, toplo priporočam članka Mateja Kovačiča in Žige Turka, sam pa se bom osredotočil na tehnične možnosti blokiranja omrežnega prometa in posledice, ki jih ta lahko prinese.

Kadar želimo omejiti dostop do nekega strežnika oz. do spletnega mesta, imamo v bistvu na voljo štiri možnosti: blokada prometa glede na ciljni IP naslov, spreminjanje tabel za usmerjanje prometa, preusmerjanje s pomočjo lažnih DNS odgovorov in tehnologijo DPI, Deep Packet Inspection. Vsaka od teh možnosti ima svoje pomanjkljivosti oz. povzroči probleme, na katere zakonodajalec verjetno ni pomislil, bodo pa padli na ramena “ponudnikov storitev informacijske družbe”.

Blokada prometa na podlagi IP naslova

To je najbolj enostavna metoda, ki jo običajno internetni ponudniki uporabljajo recimo za obrambo pred napadi s poplavo podatkov (DDoS, Distributed Denial of Service oz. na kratko kar “dosanje”). Tudi najbolj enostavne omrežne naprave podpirajo vsaj osnovno filtriranje prometa te oblike. Na napravi (običajno usmerjevalniku prometa, lahko tudi požarnem zidu) se ustvari novo pravilo, ki pravi, naj se promet na nek ciljni IP naslov (recimo 195.72.135.41) zavrže. To bi ustrezalo primeru, ko poštar na določen naslov (recimo Jamova 39, 1000 Ljubljana) ne bi več dostavljal pošiljk. S tem morda dosežemo namen, kadar je na tem naslovu samo ena oseba, povzročimo pa lahko dodatno škodo, kadar stoji na tem naslovu blok ali celo poslovna stavba (ali v tem konkretnem primeru Inštitut Jožefa Stefana).

Takšni blokadi se lahko prireditelj iger na srečo enostavno izogne tako, da prosi svojega ponudnika gostovanja, naj mu zamenja IP naslov. Ta bo verjetno rade volje to storil in ukrep je izničen. Še več: ponudnik bo ta prosti IP naslov recikliral in ga že naslednji trenutek dodelil drugi svoji stranki, do njenega spletnega mesta pa naenkrat iz Slovenije ne bomo mogli.

Vsi tisti igralci, ki se bodo ukrepu želeli izogniti, bodo ukrep zaobšli z uporabo anonimnih proxy strežnikov (kot se je to zgodilo v udba.net primeru) ali omrežja Tor, ki je namenjeno anonimnemu brskanju.

Spremembe tabel za usmerjanje prometa

Omrežje internet je sestavljeno iz ogromnega števila povezav med usmerjevalniki prometa (router). Vsak od njih ve na podlagi posebnih tabel za usmerjanje prometa, kateremu sosedu mora poslati paket, da bo prišel na cilj. Vsi internetni ponudniki svoj IP naslovni prostor oglašujejo sosednim omrežjem, posebni protokoli in postopki pa poskrbijo, da se ustrezna informacija razširi po omrežju. Če se vsi ponudniki držijo dogovorjenih pravil, lahko od koderkoli na internetu pridemo kamorkoli.

Ponudniki v Sloveniji bi omejevanje dostopa lahko implementirali tako, da bi dodali v usmerjevalne tabele lažne podatke, ki bi govorili, da se recimo bwin.com nahaja dejansko na strežniku Urada RS za nadzor nad prirejanjem iger na srečo. S tem ne bi zavrgli ali uničili pakete, ampak bi jihpreusmerili. Kot da bi na cestah v vsej državi zamenjali table, ki kažejo, kako se pride recimo v Trst in bi potnike usmerjali v Celje. Dodaten “bonus” takšnega omejevanja je, da upravitelj tega lažnega cilja jasno vidi, kdo vse želi priti do prepovedanega spletnega mesta …

Ostale problemi in metode izogibanja ukrepu pa so povsem isti, kot v prejšnjem načinu blokade. Ker pa lahko po nesreči usmerjevalna informacija “uide” v tuja omrežja, pa se tu pojavi še dodaten problem, ko preusmerimo promet tudi v drugih državah. To se je dejansko že zgodilo v primeru, ko je pakistanski telekom leta 2008 dobil navodilo države, naj zablokira Youtube zaradi neprimernih vsebin. Zaradi napake pri urejanju usmerjevalnih tabel je ta laž ušla iz Pakistana ven in se v hipu razširila po internetu. Tako je bil nekaj ur Youtube nedosegljiv za večino uporabnikov interneta!

Podtikanje lažnih DNS odgovorov

Omrežna komunikacija poteka med različnimi IP naslovi, te pa si ljudje težko zapomnimo, zato je eden od temeljnih gradnikov interneta tudi porazdeljeni imenik DNS, Domain Name System. Vsakič, ko recimo vpišemo spletni naslov v brskalnik, si naš računalnik v ozadju izmenja kopico paketov z DNS strežniki na omrežju. Tako vpraša, kateri so domenski strežniki za bwin.com; ko izve za te, njih vpraša za IP naslov spletnega mesta http://www.bwin.com in prejme odgovor: 195.72.135.41. Brskalnik šele nato lahko pošlje zahtevek za vsebino spletne strani. Za te DNS poizvedbe običajno uporabljamo strežnike svojega internetnega ponudnika (pogovorno tak DNS strežnik imenujemo resolver).

Spletno mesto lahko s pomočjo DNS sistema blokiramo tako, da v resolver dodamo črno listo imen. Ko recimo tako spremenjen resolver na črni listi najde http://www.bwin.com, namesto pravega odgovora vrne IP naslov vnaprej določenega spletnega mesta, kjer se uporabniku prikaže sporočilo, da do tega spletnega mesta ne sme.

Pri tem načinu se vsak igralec iger na srečo še bolj enostavno izogne blokadi. Na primer tako, da si na računalniku nastavi OpenDNS ali Googlove strežnike (resolverje), ki brezplačno nudijo svoje storitve komurkoli. Ker pa je podtikanje lažnih DNS odgovorov tudi ena od metod omrežnih kriminalcev, ki nam skušajo na ta način ukrasti gesla in denar, zato se bo prej ali slej vpeljal nov, bolj varen protokol, DNSSEC. Ta bo vzpostavil hierarhijo ključev za digitalno podpisovanje, takšne blokade (oz. preusmeritve) pa naredil manj uporabne.

DPI – Deep Packet Inspection

Najbolj kompleksna in napredna (ali pa perfidna, odvisno od stališča) tehnologija za filtriranje prometa temelji na vpogledu v vsebino, samodejnem pregledovanju celotnega prometa in iskanju vzorcev v njem. Če se vrnemo na poštarsko analogijo: vsako pismo bi na pošti odprli in na podlagi vsebine pisma odločili, ali se ga sme dostaviti, ali ne. DPI se uporablja kot dodatek pri nekaterih požarnih zidovih, seveda pa je tudi idealno orodje za nadzor nad prometom zaposlenih. Tudi pri nas se skuša še dodatno promovirati internetnim operaterjem, saj omogoča tudi spreminjanje in dodajanje vsebine v komunikacijo. Reklam, recimo.

DPI sigurno pomeni nesorazmeren poseg v zasebnost komunikacije glede na namen omenjenega zakona, zato kaj dosti besed o tej možnosti ne bi izgubljal, morda bi le pokazal na članek o neprimerni uporabi DPI tehnologije pri nas.

Splošni problemi

Obstaja tudi nekaj pomislekov, ki pa so skupni vsem trem načinom blokiranja prometa. Najprej bi omenil ažuriranje spiska blokiranih mest. Kdo bo vzdrževal spisek, preverjal ali še veljajo razlogi za blokado in sporočal vse skupaj slovenskim “ponudnikom storitev informacijske družbe”? Urad RS za nadzor nad prirejanjem iger na srečo? Kaj, ko bo prireditelj zamenjal IP naslov ali DNS ime? Bomo imeli centralni državni organ za urejanje cenzuriranih spletnih mest, ali bodo to počeli posamezni uradi in inšpekcije? Zdi se mi, da so vse te službe bolj vajene postopka, kjer izdajo odredbo, nato pa je stvar zaključena. Kaj pa bo čez dve leti, ko bo prireditelj propadel, zamenjal ponudnika gostovanja ipd.?

Zanesljiva komunikacija je tista, pri kateri vemo, kakšni so možni rezultati: ali bo sporočilo prišlo na cilj, sicer pa bomo dobili povratno informacijo, da nekaj ni bilo v redu. Z nekaterimi načini filtriranja to zanesljivost zmanjšamo in vnesemo polje zmede v omrežje.

Predvsem pa ni prav, da v spor med Uradom, ki skrbi za zakonitost iger na srečo in tujim prirediteljem iger na srečo vlečemo tretje osebe. Še posebej, če gre tu za operaterje, ki imajo za nalogo hitro in učinkovito omrežno komunikacijo in jim zakonodaja sicer nalaga, da se vsebine uporabnikove komunikacije ne smejo pritakniti. Ne zdi se mi primeren izgovor, da je težko doseči, da bodo tujci sprejeli omejitve, ki veljajo v Sloveniji, ter da ti postopki trajajo dolgo časa. Še posebej, kadar ima prireditelj sedež v članici EU.

Končal bom s prispodobo. Predstavljajmo si italijanske uradnike nekaj let nazaj, kako so preko meje strmeli v Hitove reklame in se jezili, da njihovi državljani v slovenske igralnice nosijo denar. Ker vedo, da čez mejo pristojnosti nimajo in da so tam zakoni drugačni, so po mrzličnem iskanju rešitve odredili lastniku ozemlja ob meji, naj na lastne stroške postavi veliko tablo, ki mimoidočim zakrije pogled na reklamne napise igralnice tam čez. Ne glede na to, da vsak lahko reklame vidi, če se premakne nekaj deset metrov stran, bi svoj “ukrep” opravičili s tem, da so naredili vsaj nekaj in da je tudi to bolje, kot nič.

Pa je res?

Reblog this post [with Zemanta]

17 comments

  1. Pozabil sem še na četrto možnost, spreminjanje usmerjevalnih tabel, zato sem dodal opis tudi te.

  2. Tudi sam nisem naklonjen DPI, a bojim se, da bo zadeva prej ali slej nekje uzakonjena. In to seveda še preden bomo mi navadni internet-upokojenci.

    Rešitev so sicer same utopistične:
    – enotna evropska ali svetovna vlada (in zakonodaja)
    – vera v to, da nadzorniki tega nikakor in nikjer ne bodo zlorabljali

    Po drugi plati – če to uvedemo, je edina rešitev lahko le še to, da se uvede funkcionalni protimehanizem – da lahko uporabnik v vsakem trenutku dobi poročilo, kdo ga je DPI-jal in katere podatke je pri tem kakorkoli uporabil/shranil na način, da bi lahko tega uporabnika specifično identificiral.

    Torej – fight fire with fire … ampak potem imaš, tehnološko gledano, še večji fire🙂, ki je pa vsaj v tvojih rokah.

    1. Ja, te pravzaprav razumem. A mene še kar skrbi ta “skrb” države, da ne bi mi grešili (z igranjem na bwin.com). Ko bo enkrat DPI tu, se bo z njim počelo še marsikaj drugega. Na koncu bomo videli, da je bil Orwellov Veliki brat pravi amater!😦

  3. Meni se bolj problematičen zdi ta “prehod” med free internetom in “big brother” internetom, kjer se zdi da nikoli pravzaprav ne veš ali ti kdo “prisluškuje” ali ne… Potem ko bomo vsi vedeli da se nekaj počne in bomo proti temu, se bo že nekaj naredilo v tej smeri in spet bomo vsi happy. Za kaj pa pravzaprav potrebuješ “free internet” danes? Da se ne gleda kaj komu pišeš? Kaj snemaš iz interneta? Za take “osnovne” storitve, se kaj hitro ustvari vzporedno “free anonimno” omrežje… kaj naprednega v povezavi z državno upravo in podobnimi rečmi, pa je tako ali tako vseeno ali te pri tem spremljajo ali ne.

  4. I personally disagree with that new rules. It will cut’s off or limit our access to some sites which reduce our freedom of choice. Nowadays, all information are mostly posted over the web and if time comes that they will limit the access specifically by country, other won’t able to get those information they want in such country.

  5. Hm, kaj pa tehnični del izvedbe? Saj noben DPI ne more (ob ustrezni nad/dogradnji) preprečiti tuneliranja.

    Vse skupaj me spominja na zgodnja devetdeseta leta, ko so ljudje želeli pošiljati sporočila anonimno na tedaj dejavni novičarski sistem. V ta namen so rastli po svetu strežniki, ki so zagotavljali anonimnost.

    Ob sodobni tehnologijo (in istem problemu, ki ga ima milijardna Kitajska), menim, da vse skupaj tehnično ni ravno obsojeno na uspeh. Še posebej ob dodatku takorekoč filtriranja vsega.

    Res me zanima, kako si je zakonodajalec zamislil tehnično izvedbo svoje zakonodaje.

    LPA

    PS: Ne nazadnje še DNS protokol lahko (dejansko) uporabiš za transport poljubnih paketov.

  6. Res je, tuneliraš še vedno lahko skozi. Za uporabnika je najbolj primeren recimo Tor. Obstajajo pa DPI naprave, ki služijo kot napredni požarni zidovi. Ti se lažno predstavljajo tudi kot ciljni naslov za šifrirane povezave (preko HTTPS) in delajo pravzaprav man-in-the-middle napad. Hočeš do Gmaila preko HTTPS, naprava se predstavi kot https://www.gmail.com in na drugi strani vzpostavi povezavo do pravega gmail.com. Certifikat, ki ti ga ponudi sicer ni Googlov, zato ti bo odjemalec zajamral. Če to spregledaš, potem vidi DPI naprava tudi tvojo šifrirano komunikacijo.

    Primer uporabe tega na ljubljanski univerzi si lahko ogledaš v razdelku “Uporaba DPI v Sloveniji” posta http://hr-cjpc.si/pravokator/index.php/2009/12/02/dpi-tehnologija-v-sloveniji/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

Komentirate prijavljeni s svojim WordPress.com računom. Log Out / Spremeni )

Twitter picture

Komentirate prijavljeni s svojim Twitter računom. Log Out / Spremeni )

Facebook photo

Komentirate prijavljeni s svojim Facebook računom. Log Out / Spremeni )

Google+ photo

Komentirate prijavljeni s svojim Google+ računom. Log Out / Spremeni )

Connecting to %s