Ďalšie informácie o chystanom blokovaní stránok s tematikou hazardných hier — prečo je to zlý návrh?

Návrh zá­ko­na, kto­rý da­lo do me­dzi­re­zor­tné­ho pri­po­mien­ko­vé­ho ko­na­nia Mi­nis­ter­stvo Fi­nan­cií a má umož­niť blo­ko­va­nie inter­ne­to­vých strá­nok spo­je­ných s ne­le­gál­nym ha­zar­dom spus­til vl­nu od­po­ru. Na zá­kla­de zá­ko­na o slo­bod­nom prís­tu­pe k in­for­má­ciám sa mi po­da­ri­lo zís­kať ne­ja­ké dopl­ňu­jú­ce in­for­má­cie, kto­ré len potvr­dzu­jú to, čo som tvr­dil na tom­to por­tá­li už pred­tým - mi­nis­ter­stvo ne­vie, o koľ­ko sa zvý­šia da­ňo­vé príj­my za­ve­de­ním tej­to re­gu­lá­cie, ne­vie, koľ­ko to bu­de stáť pos­ky­to­va­te­ľov ("Od­had nák­la­dov vy­pra­co­va­ný nie je, nák­la­dy by ne­ma­li pred­sta­vo­vať vý­znam­nú po­lož­ku (blo­ko­va­nie inter­ne­to­vých strá­nok si vy­ža­du­je mi­ni­mál­ne fi­nan­čné nák­la­dy)."). Ana­lý­zu iných mož­nos­tí rie­še­nia toh­to prob­lé­mu Mi­nis­ter­stvo Fi­nan­cií ne­dis­po­nu­je.

Te­raz môj ko­men­tár - za­ve­de­nie re­gu­lá­cie, na zá­kla­de kto­rej si Mi­nis­ter­stvo Fi­nan­cií sľu­bu­je zvý­še­nie príj­mov, ale ne­tu­ší aké zvý­še­nie, ne­tu­ší, koľ­ko to bu­de pos­ky­to­va­te­ľov a kon­co­vých pou­ží­va­te­ľov stáť a za­hrá­va sa so zá­klad­ný­mi prá­va­mi ob­ča­nov je veľ­mi zlý ná­pad.

K té­me mi­ni­mál­nych fi­nan­čných nák­la­dov blo­ko­va­nia inter­ne­to­vých strá­nok: Dob­re spra­ve­né blo­ko­va­nie nie je ľah­ké ani lac­né. Zle spra­ve­né blo­ko­va­nie mô­že za­blo­ko­vať o dosť viac strá­nok ako je nut­né a te­da mo­ti­vu­je pos­ky­to­va­te­ľov k cen­zú­re. Blo­ko­va­nie je mož­né ro­biť vice­rý­mi spô­sob­mi. Všet­ky ok­rem pr­vé­ho, kto­rý je nee­fek­tív­ny a po­ten­ciál­ne blo­ku­je om­no­ho viac ako by mu­sel sú nák­lad­né a prav­de­po­dob­ne by vy­ža­do­va­li kú­pu po­mer­ne dra­hých za­ria­de­ní, kto­ré pos­ky­to­va­te­lia v sú­čas­nos­ti ne­mu­sia vlas­tniť.

Blo­ko­va­nie na úrov­ni IP
Ten­to spô­sob blo­ko­va­nia je naj­jed­no­duch­ší, zá­ro­veň je však naj­ne­bez­peč­nej­ší pre pos­ky­to­va­te­ľov. Cie­ľo­vá strán­ka mô­že byť na rov­na­kej IP ad­re­se s množ­stvom iných webov. Sa­moz­rej­me, pred­sta­va, že ha­zard­ný web je na zdie­ľa­nom hos­tin­gu nie je úpl­ne realis­tic­ká. Čo realis­tic­ké je sú clou­do­vé služ­by, kto­ré za­bez­pe­ču­jú dis­tri­bú­ciu ob­sa­hu ale­bo bez­peč­nosť. Con­tent-de­li­ve­ry networks sú po­mer­ne bež­né a vy­uží­va­jú ich tak­mer všet­ky veľ­ké por­tá­ly a weby. Ich cie­ľom je, aby služ­ba bo­la "bliž­šie" ku kon­co­vé­mu zá­kaz­ní­ko­vi a čas­to ro­bia ana­ly­ti­ku ale­bo dis­tri­buu­jú sta­tic­ký ob­sah. Služ­by ty­pu Cloud­Fla­re pos­ky­tu­jú na­vy­še eš­te bez­peč­nosť (Web Ap­pli­ca­tion Fi­rewall) ale­bo ochra­nu pred DDoS útok­mi. A je veľ­ký pred­pok­lad, že por­tál s ha­zar­dný­mi hra­mi bu­de pot­re­bo­vať ta­kú­to for­mu ochra­ny. Za­blo­ko­va­nie na úrov­ni IP by za­blo­ko­va­lo všet­kých zá­kaz­ní­kov da­nej služ­by (na da­nej IP ad­re­se), kto­rí ne­ma­jú s ha­zar­dný­mi hra­mi nič spo­loč­né.

Ok­rem to­ho zme­niť IP ad­re­su je veľ­mi jed­no­du­ché, ako Da­ňo­vé Ria­di­teľ­stvo ove­rí, či je strán­ka za­blo­ko­va­ná? V ča­se, ke­dy sa da­ná strán­ka ob­ja­vi­la na zoz­na­me ma­la da­nú IP ad­re­su, o dva dni mô­že mať úpl­ne inú ad­re­su - zá­kaz­ní­kom ha­zar­dnej služ­by všet­ko fun­gu­je, pos­ky­to­va­teľ sa ne­do­pus­til žiad­nej chy­by. Má dos­tať po­ku­tu? Auto­ma­ti­zo­va­né pl­ne­nie toh­to zoz­na­mu je za­se bez­peč­nos­tné ri­zi­ko (kým sa ne­pou­ží­va na ce­lom sve­te DNSSec, mô­že zis­te­nie IP ad­re­sy z do­mé­no­vé­ho me­na byť jed­no­du­cho podvr­hnu­té a pos­ky­to­va­teľ tak za­blo­ku­je nie­čo, čo chce za­blo­ko­vať útoč­ník, prí­pad­ne nič).

Pred­pok­la­dám, že ten­to spô­sob by vý­raz­ne zvý­šil nák­la­dy na pod­po­ru uží­va­te­ľov a pre­vádz­ko­va­te­ľov.

Spô­sob obí­de­nia: aké­koľ­vek za­hra­nič­né proxy, nap­rík­lad JAP, Tor, VPN na hos­to­va­ný server a pod. (Zno­va: zá­kaz­ník, kto­rý chce ha­zar­do­vať v za­hra­ni­čí má vy­so­kú mo­ti­vá­ciu, čas­to aj fi­nan­čnú, aby to­to blo­ko­va­nie obi­šiel).

V skrat­ke - lac­né a veľ­mi zlé rie­še­nie.

Blo­ko­va­nie do­mé­no­vé­ho me­na
Pri zis­ťo­va­ní do­mé­no­vé­ho me­na a je­ho pre­vo­du na IP ad­re­su ne­mu­sí zá­kaz­ník pou­ží­vať do­mé­no­vý server pos­ky­to­va­te­ľa. Mno­hí pou­ží­va­te­lia vy­uží­va­jú služ­by ako nap­rík­lad OpenDNS prí­pad­ne DNS od Goog­le. Aké­koľ­vek blo­ko­va­nie za­lo­že­né na pre­kon­fi­gu­ro­va­ní DNS server­a pos­ky­to­va­te­ľa je te­da nee­fek­tív­ne a dá sa obísť pou­ži­tím ve­rej­né­ho DNS server­a, nap­rík­lad 8.8.8.8.

Blo­ko­va­nie DNS reques­tov na zá­kla­de pac­ket in­spec­tion je za­se veľ­mi nák­lad­né, pos­ky­to­va­teľ by mu­sel im­ple­men­to­vať deep pac­ket in­spec­tion pre DNS po­žia­dav­ky, čo nie je ani tro­chu lac­né rie­še­nie.

Blo­ko­va­nie po­mo­cou deep pac­ket in­spec­tion pri HTTP
To­to rie­še­nie je sí­ce veľ­mi nák­lad­né, ale bo­lo by po­mer­ne pres­ne cie­le­né. Má len je­den tech­nic­ký prob­lém - ha­zar­dné hry má­lo­ke­dy vy­uží­va­jú ne­šif­ro­va­nú po­do­bu pro­to­ko­lu HTTP.

Blo­ko­va­nie po­mo­cou deep pac­ket in­spec­tion pri HTTPS
Nák­lad­né rie­še­nie (na za­ria­de­nia), kto­ré by na­vy­še spô­so­bi­lo via­ce­ro tech­nic­kých prob­lé­mov a zní­ži­lo od­oz­vu strá­nok. Ok­rem to­ho, ta­kým­to spô­so­bom je mož­né za­blo­ko­vať len ce­lý web na da­nom server­i, kto­rý vďa­ka Server Na­me In­di­ca­tion mô­že ob­sa­ho­vať via­ce­ro strá­nok. Ak by deep pac­ket in­spec­tion ro­zu­mel Server Na­me In­di­ca­tion, mô­že za­blo­ko­vať len ce­lú do­mé­nu, nie podstrán­ky, keď­že do sa­mot­nej po­žia­dav­ky (vďa­ka šif­ro­va­niu) pos­ky­to­va­teľ ne­vi­dí.

Blo­ko­va­nie po­mo­cou HTTP/HTTPS proxy
O úro­veň vy­ššie ako deep pac­ket in­spec­tion - veľ­mi nák­lad­né rie­še­nie, kto­ré by na­vy­še po­ka­zi­lo mno­hé ap­li­ká­cie, kto­ré ne­po­čí­ta­jú s tým, že idú cez proxy.

Zá­ver
Mi­nis­ter­stvo Fi­nan­cií plá­nu­je za­viesť re­gu­lá­ciu Inter­ne­tu, pri­čom ne­vie, čo pres­ne tým zís­ka, myl­ne pred­pok­la­dá, že nák­la­dy bu­dú mi­ni­mál­ne, ne­má v plá­ne ich pos­ky­to­va­te­ľom prep­la­tiť, za­hrá­va sa so zá­klad­ný­mi slo­bo­da­mi a ne­dis­po­nu­je ana­lý­zou iných mož­nos­tí rie­še­nia toh­to prob­lé­mu.



Ohodnoťte článok:
 
 
 

Juraj Bednár

Som spoluzakladateľom spoločnosti DIGMIA, v ktorej som momentálne zodpovedný za stratégiu. Venujem sa prevažne open-source technológiám a počítačovej bezpečnosti.


telefon: 02/326 032 22
email: jooray+itnnews@gmail.com
 

Najnovšie články na blogu

Ďalšie informácie o chystanom blokovaní stránok s tematikou hazardných hier — prečo je to zlý návrh?
Návrh zákona, ktorý dalo do medzirezortného pripomienkového konania Ministerstvo Financií a má umožniť blokovanie internetových stránok spojených s nelegálnym hazardom spustil vlnu odporu... viac »
23.09.2011
 
Bezpečnostné štandardy
V poslednom čase sa často stretávame s rôznymi prienikmi do informačných systémov. Tieto prieniky poukazujú predovšetkým na podcenené zabezpečenie mnohých slovenských webov... viac »
18.03.2010
 
FAX Forever!
Už dávno som rozmýšľal, prečo ľudia ešte používajú faxové prístroje, keď tu máme e-mail. V kancelárii som si zaviedol službu mail2fax, ktorá pre mňa nepochopiteľnú dinosauriu technológiu maskuje za e-mail... viac »
14.10.2009
 
Reportáž: Postavte si vlastnú GSM sieť
V Berlíne sa tradične koncom roka medzi sviatkami koná bezpečnostná konferencia nemeckého Chaos Computer Clubu s názvom Chaos Communication Congress. Podtitul konferencie v roku 2008 znel: Nothing to hide (Niet čo skrývať). Podľa mnohých expertov ide o najlepšiu konferenciu týkajúcu sa bezpečnosti v Európe, ostatné konferencie často len rozvíjajú jej témy... viac »
21.01.2009
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter