Telefoncek.si

VizitkaO Pravokator.siPravno obvestiloPredavanja in knjigeVarnost GSM

Objavljeno: 06. 01. 2010

Problemi blokiranja spletnih mest

Državni zbor RS je pred kratkim sprejel spremembe Zakona o igrah na srečo, ki med drugim uvajajo omejevanje dostopa do spletnih strani. Poleg neposrednih pravnih posledic ima lahko tehnična implementacija določene posledice (ali lastnosti), na katere se bom osredotočil v tem prispevku.

Kadar želimo omejiti dostop do nekega strežnika oz. do spletnega mesta, imamo v bistvu na voljo štiri možnosti: blokada prometa glede na ciljni IP naslov, spreminjanje tabel za usmerjanje prometa, preusmerjanje s pomočjo lažnih DNS odgovorov in tehnologijo DPI, Deep Packet Inspection. Vsaka od teh možnosti ima svoje pomanjkljivosti oz. povzroči probleme, na katere zakonodajalec verjetno ni pomislil, bodo pa padli na ramena “ponudnikov storitev informacijske družbe”.

Blokada prometa na podlagi IP naslova

To je najbolj enostavna metoda, ki jo običajno internetni ponudniki uporabljajo recimo za obrambo pred napadi s poplavo podatkov (DDoS, Distributed Denial of Service oz. na kratko kar “dosanje”; gre za to, da napadalec na nek IP naslov pošlje ogromno količino podatkov ter s tem “zablokira” komunikacijsko povezavo napadenega računalnika). Vsa komunikacija na internetu namreč poteka na podlagi enoličnih IP naslovov. Gre za štirištevične naslove, recimo 193.2.1.66, 195.72.135.41 itn. Brez teh naslovov komunikacije ne more biti, poseben sistem pa poskrbi za preslikave med številčnimi naslovi in imeni oblike www.arnes.si ali bwin.com, ki si jih laže zapomnimo. A o tem kasneje. Za sedaj je dovolj, da vemo, da je osnova internet protokola komunikacijski paket, ki vedno vsebuje dva IP naslova: tistega od izvora in onega od cilja komunikacije, ter da vsaka naprava in vsak spletni strežnik za svoje delovanje potrebuje svoj IP naslov, ki mu ga dodeli ponudnik gostovanja (no, princip je podoben tudi pri telefonih).

Tudi najbolj enostavne omrežne naprave podpirajo vsaj osnovno filtriranje prometa na osnovi IP naslova. Na napravi (običajno usmerjevalniku prometa ponudnika, lahko tudi požarnem zidu) vpišemo novo pravilo, ki pravi, naj se promet, namenjen na določen IP naslov (recimo 195.72.135.41) zavrže. Naprava pri posredovanju paketa pogleda IP naslov in preveri, ali ustreza kateremu od definiranih pravil. Na ta način ponudnik lahko na poti ustavi komunikacijske pakete, namenjene na strežnik bwin.com, ki deluje na prej navedenem IP naslovu (oziroma jih izniči).

Ta način bi ustrezal primeru, ko poštar na določen naslov (recimo Jamova 39, 1000 Ljubljana) ne bi več dostavljal pošiljk. S tem morda dosežemo namen, kadar je na tem naslovu samo ena oseba, povzročimo pa lahko dodatno škodo, kadar stoji na tem naslovu blok ali celo poslovna stavba (ali v tem konkretnem primeru Inštitut Jožefa Stefana). Podobno je na internetu: ker je običajna praksa ponudnikov gostovanja, da na en sam IP naslov namestijo več različnih strank oz. njihovih spletnih mest, je prav mogoče, da z blokado omejimo dostop tudi do spletnih mest, ki ne kršijo nobenega slovenskega zakona in so potem le “kolateralna škoda”.

Po drugi strani pa se prireditelj iger na srečo tako realizirani blokadi enostavno izogne tako, da prosi svojega ponudnika gostovanja, naj mu zamenja IP naslov. Zamenjavo naslova je možno realizirati v nekaj minutah, z njo pa je izrečen ukrep popolnoma izničen. Zadošča en telefonski klic ponudniku, za storitev pa bo mogoče nekaj minimalnega zaračunal. Da je problem še večji, bo ponudnik prejšnji (in sedaj nezaseden) IP naslov skrbno recikliral in ga dodelil drugi stranki. To pa pomeni, da naenkrat iz Slovenije ne bomo mogli do nekega drugega spletnega mesta, ki z razlogi za blokado nima prav nič.

Vsi tisti igralci iger na srečo, ki se bodo ukrepu želeli izogniti, pa ga bodo zlahka zaobšli tudi brez tega. Pri brskanju lahko uporabijo posredniški strežnik (tim. proxy strežnik). Ko v računalniku nastavimo preusmeritev komunikacijskega prometa na takšen posredniški strežnik, imajo naši paketi za ciljni IP naslov tistega od posredniškega strežnika. Šele v vsebini paketa pa je navodilo, naj posredniški strežnik naš komunikacijski paket pošlje na pravi cilj. Na ta način bo ponudnik dostopa do interneta “videl” le, da njegov uporabnik komunicira s posredniškim strežnikom, kam je usmerjena komunikacija od tam naprej, pa ne. To zgodbo poznamo, saj se je to pred leti zgodila v primeru udba.net. Druga možnost je namestitev dodatnega programa, ki računalnik uporabnika povežejo v anonimizacijsko in proticenzurno omrežje Tor. Le-to deluje po podobnem principu kot posredniški strežniki, le da je še bolj enostavno za uporabo in vsebuje tudi mehanizme, ki izničijo morebitne protiukrepe ponudnikov dostopa do interneta. Anonimizacijsko omrežje Tor za izogibanje internetnim blokadam so sicer že večkrat uspešno uporabili politični aktivisti na Kitajskem, Iranu in drugod po svetu.

Spremembe tabel za usmerjanje prometa

Omrežje internet je sestavljeno iz ogromnega števila povezav med usmerjevalniki prometa (ang. router). Vsak od usmerjevalnikov prometa na podlagi posebnih tabel za usmerjanje prometa ve, kateremu sosedu mora poslati paket, da bo ta prišel na pravi cilj. Vsi internetni ponudniki svoj IP naslovni prostor oglašujejo sosednim omrežjem, posebni protokoli in postopki pa poskrbijo, da se ustrezna informacija razširi po omrežju. Če se vsi ponudniki držijo dogovorjenih pravil, lahko od koderkoli na internetu pridemo kamorkoli.

Ponudniki v Sloveniji bi omejevanje dostopa lahko implementirali tako, da bi dodali v usmerjevalne tabele lažne podatke, ki bi govorili, da se recimo bwin.com nahaja na strežniku (na primer) Urada RS za nadzor nad prirejanjem iger na srečo. S tem ne bi zavrgli ali uničili paketov, ampak bi jih le preusmerili na drug strežnik. Kot da bi na cestah v vsej državi zamenjali table, ki kažejo, kako se pride recimo v Trst in bi potnike usmerjali v Celje. Dodaten “bonus” takšnega omejevanja je, da upravitelj tega lažnega cilja jasno vidi, kdo vse želi priti do prepovedanega spletnega mesta…

Ostali problemi in metode izogibanja ukrepu pa so povsem enaki, kot v prejšnjem načinu blokade. Ker pa lahko po nesreči usmerjevalna informacija “uide” v tuja omrežja, se tu pojavi še dodaten problem, ko nenamenoma preusmerimo promet tudi v drugih državah. To se je dejansko že zgodilo v primeru, ko je pakistanski telekom leta 2008 dobil navodilo države, naj zablokira Youtube zaradi neprimernih vsebin. Zaradi napake pri urejanju usmerjevalnih tabel je ta laž ušla iz Pakistana ven in se v hipu razširila po internetu. Tako je bil nekaj ur Youtube nedosegljiv za večino uporabnikov interneta!

Podtikanje lažnih DNS odgovorov

Omrežna komunikacija poteka med različnimi IP naslovi, te pa si ljudje težko zapomnimo, zato je eden od temeljnih gradnikov interneta tudi porazdeljeni imenik DNS, Domain Name System. Ta vsebuje preslikave med domenami, imeni strežnikov, naslovi elektronske pošte na eni strani in IP naslovi na drugi. Vsakič, ko recimo vpišemo spletni naslov v brskalnik, si naš računalnik v ozadju izmenja kopico paketov z DNS strežniki na omrežju. Tako vpraša, kateri so domenski strežniki za bwin.com; ko izve za te, njih vpraša za IP naslov spletnega mesta www.bwin.com in prejme odgovor: 195.72.135.41. Brskalnik šele nato lahko pošlje zahtevek za vsebino spletne strani. Za te DNS poizvedbe običajno uporabljamo strežnike svojega internetnega ponudnika (pogovorno tak DNS strežnik imenujemo resolver).

Spletno mesto lahko s pomočjo DNS sistema blokiramo tako, da v DNS strežnik dodamo tim. črno listo imen. Ko recimo tako spremenjen DNS strežnik na črni listi najde www.bwin.com, namesto pravega odgovora vrne IP naslov vnaprej določenega spletnega mesta, kjer se uporabniku prikaže sporočilo, da do tega spletnega mesta ne sme (spet gre za preusmeritev, kjer na lažnem cilju lahko spremljamo, kdo vse želi dostopati do njega).

Prireditelj, ki je predmet bokade, se temu ne more enostavno izogniti. Lahko recimo v DNS imenik vstavi nova, alternativna imena, kot so recimo www2.bwin.com, gamble.bwin.com, si28.bwin.com ipd. Ker sedaj omejitev temelji na imenu in ne IP naslovu, se s spremembo tega ne more izogniti ukrepu.

Igralec iger na srečo pa se po drugi strani blokadi izogne še lažje, kot v prejšnih primerih. Enostavno tako, da si na računalniku nastavi OpenDNS ali Googlove DNS strežnike, ki brezplačno nudijo svoje storitve komurkoli. Na njihovih spletnih mestih najdemo tudi enostavna navodila, kako si na svojem računalniku ustrezno spremenimo nastavitve. Stvar je pravzaprav še bolj enostavna, kot iskanje in nastavljanje posredniških strežnikov.

Podtikanje lažnih DNS odgovorov pa je tudi ena od metod omrežnih kriminalcev, ki nam skušajo na ta način ukrasti gesla in denar, zato se počasi vpeljuje bolj varna različica protokola, DNSSEC. Ta bo vzpostavil hierarhijo ključev za digitalno podpisovanje, takšne blokade (oz. preusmeritve) pa naredil manj uporabne.

DPI – Deep Packet Inspection

Najbolj kompleksna in napredna (ali pa perfidna, odvisno od stališča) tehnologija za filtriranje prometa temelji na vpogledu v vsebino, samodejnem pregledovanju celotnega prometa in iskanju vzorcev v njem. Če se vrnemo na poštarsko analogijo: vsako pismo bi na pošti odprli in na podlagi vsebine pisma odločili, ali se ga sme dostaviti, ali ne. DPI se uporablja kot dodatek pri nekaterih požarnih zidovih, seveda pa je tudi idealno orodje za nadzor nad prometom zaposlenih. Tudi pri nas se skuša še dodatno promovirati internetnim operaterjem, saj omogoča tudi spreminjanje in dodajanje vsebine v komunikacijo. Reklam, recimo. Pri pismih bi to pomenilo, da pošta pisemsko ovojnico odpre, vanjo vstavi reklamo in jo spet zlepi tako, kot da se nič ni zgodilo.

DPI gotovo pomeni nesorazmeren poseg v zasebnost komunikacije glede na namen omenjenega zakona, zato kaj dosti besed o tej možnosti ne bi izgubljal, smo pa o neprimerni uporabi DPI tehnologije pri nas na tem spletnem mestu že pisali.

Splošni problemi

Obstaja tudi nekaj pomislekov, ki pa so skupni vsem trem načinom blokiranja prometa. Najprej bi omenil ažuriranje spiska blokiranih mest. Kdo bo vzdrževal spisek, preverjal ali še veljajo razlogi za blokado in sporočal vse skupaj slovenskim “ponudnikom storitev informacijske družbe”? Urad RS za nadzor nad prirejanjem iger na srečo? Kaj, ko bo prireditelj zamenjal IP naslov ali DNS ime? Bomo imeli centralni državni organ za urejanje cenzuriranih spletnih mest (nekakšen “Urad glavnega cenzorja“), ali bodo to razdrobljeno počeli posamezni uradi in inšpekcije? Zdi se mi, da so vse te službe bolj vajene enostavnih postopkov, kjer izdajo odredbo, nato pa je za njih stvar zaključena (in morda celo pozabljena). Kaj pa bo naslednja leta, ko bo spletna igralnica zamenjala IP naslov, ali začela delovati pod novo domeno? Ali pa čez dlje časa, ko bo prireditelj propadel (in bo njegov IP naslov dobil nek povsem drug strežnik), zamenjal ponudnika gostovanja ipd.?

Zanesljiva komunikacija je tista, pri kateri vemo, kakšni so možni rezultati: ali sporočilo pride na cilj, ali pa dobimo povratno informacijo, da nekaj ni bilo v redu. Tega smo vajeni že odkar pošte po svetu nosijo pisma. Z nekaterimi načini filtriranja to zanesljivost zmanjšamo in v omrežje vnesemo zmedo, ko ne vemo, kaj se je z našimi paketi zgodilo.

Pri razmišljanju o različnih ukrepih na omrežju nam tudi vedno pride prav, če pomislimo na ustrezno preslikavo v stari nevirtualni svet. Pošta, telefon, cestno omrežje, kioski s časopisi ipd. so koristne analogije zato, ker nam zelo jasno prikažejo, kaj dejansko nek poseg v omrežje dejansko pomeni za pravice posameznika.

Predvsem pa ni prav, da v spor med Uradom, ki skrbi za zakonitost iger na srečo in tujim prirediteljem iger na srečo vlečemo tretje osebe. Še posebej, če gre tu za omrežne operaterje, ki imajo za nalogo zagotavljati hitro, učinkovito in nemoteno omrežno komunikacijo in jim zakonodaja sicer nalaga, da se vsebine uporabnikove komunikacije ne smejo pritakniti. Izgovor, češ da je težko preganjati nekatere prireditelje na spletu, ker se ti izogibajo ukrepom, ter da ti postopki trajajo dolgo časa, se mi ne zdi nič kaj primeren. Še posebej takrat ne, ko ima prireditelj sedež v članici EU. Če skupni mehanizmi ne delujejo, potem naj se trud usmeri v njihovo izboljšanje, ne pa v iskanje najlažjega ukrepa, ki pa žal da le vtis uspešne razrešitve problema, zraven pa povzroči stroške operaterjem.

Končal bom s prispodobo. Predstavljajmo si italijanske uradnike nekaj let nazaj, kako preko meje strmijo v Hitove reklame in se jezijo, da njihovi državljani v slovenske igralnice nosijo denar. Ker vedo, da čez mejo pristojnosti nimajo in da so tam zakoni drugačni, po mrzličnem iskanju rešitve odredijo lastniku ozemlja ob meji, naj na lastne stroške postavi veliko tablo, ki mimoidočim zakrije pogled na reklamne napise igralnice tam čez. Ne glede na to, da vsak lahko reklame vidi, če se premakne nekaj deset metrov stran, bi svoj “ukrep” opravičili s tem, da so naredili vsaj nekaj in da je tudi to bolje, kot nič.

Pa je res?

Kategorije: Človekove pravice, Informacijska tehnologija
Ključne besede: cenzura, DPI, igre na srečo