Prawo telekomunikacyjne. Art. 180.1 Przedsiębiorca telekomunikacyjny jest obowiązany do niezwłocznego blokowania połączeń telekomunikacyjnych lub przekazów informacji, na żądanie uprawnionych podmiotów, jeżeli połączenia te mogą zagrażać obronności, bezpieczeństwu państwa oraz bezpieczeństwu i porządkowi publicznemu, albo do umożliwienia dokonania takiej blokady przez te podmioty.
Polecam na początek obejrzeć zeszłoroczny vlog Łukasza Warzechy (od 45:47), który wyjaśnia ustawę Prawo Telekomunikacyjne i art. 180 użyty za PiS do cenzury stron internetowych. Ja się skupię jedynie na sprawach technicznych.
Od czasu wymuszenia przez Google przejścia na szyfrowany protokół https, możliwość podglądania ruchu internetowego została mocno ograniczona. Ruch pomiędzy komputerem użytkownika a stroną internetową jest szyfrowany. Urządzenia pośredniczące w ruchu internetowym, zaczynając od domowego routera (czy access pointa) przez wszystkie urządzenia pośrednie, na ostatnim "pudełku", do którego wpięty jest serwer kończąc, nie widzą co jest przesyłane.
Komercyjne rozwiązania "security proxy" bazują na rozszyfrowywaniu ruchu przez firmowe proxy. Głównym problem jest potrzeba dodatkowego zaufanego certyfikatu, który instaluje się na komputerach firmowych, a zwłaszcza laptopach. Na szczęście nie ma ani obowiązku, ani możliwości by takie rozwiązania stosować na poziomie państwowym. Nawet Chiny robią to inaczej.
Większość blokad ruchu internetowego odbywa się na podstawie DNS. DNS czyli Domain Name System - system nazw domen - jest to grupa rozproszonych serwerów, która tłumaczy nazwy "ludzkie" (np. admin.salon24.pl) na adresy IP.
Np. odpytanie serwera DNS o "admin.salon24.pl":
:> nslookup admin.salon24.pl
Server: dns.google
Address: 8.8.8.8
Non-authoritative answer:
Name: salon24.pl
Address: 51.254.41.56
Aliases: admin.salon24.pl
Trochę upraszczając, to przed otwarciem każdej strony www przeglądarka odpytuje serwer DNS o IP szukanego serwera. I tu jest możliwość by coś blokować. W normalnej sytuacji jeśli serwer DNS nie zna jakiegoś adresu to odpytuje inne serwery DNS czy one może tego adresu nie znają. Mimo rozproszenia serwerów DNS układ jest hierarchiczny więc wcześniej czy później jakiś się znajdzie, w szczególności ten, który został podany jako serwer DNS dla domeny podczas rejestracji. Np. salon24 użył serwerów OVH: dns108.ovh.net i ns108.ovh.net.
Tak jak wpisuje się na stałe adresy podczas rejestracji, tak też można pewne adresy oznaczyć jako "błędne". I tak działa blokada internetu w Polsce. Na żądanie uprawnionych, ale nie wymienionych w ustawie podmiotów, operatorzy w ciągu dnia roboczego ustawiają na swoich DNSach pewne adresy jako niedziałające.
Pierwsze blokady po były wprowadzane w ramach ustawy hazardowej, gdzie zablokowano strony do gry w pokera. Od jakiegoś czasu władza blokuje strony patrzące władzy na ręce. Jedną z pierwszych była strona fundacji "Wołyń pamiętamy", której zablokowano adres w domenie ".pl". Dlatego fundacja przeniosła się na wolynpamietamy.org. W zeszłym roku spotkało to "wrealu24.pl".
Od piątku blokowany jest nczas.com. Różnica pomiędzy blokadą nczas.com, a w/w domen jest taka, że o ile NASK mógł dodatkowo "uszkodzić" domeny w ".pl" - jest tu zarządcą, to domena ".com" jest zarządzana z USA i jedynie można jej zaszkodzić blokując polskie serwery DNS. Od wczoraj główny serwer DNS Orange (dns2.tpsa.pl) nie zwraca adresu strony nczas.com. Reszta najprawdopodobniej dołączy w poniedziałek.
Co robić, jak żyć.
Zacznijmy od ciemnej strony. Jeżeli chcemy się pobawić w domowego cenzora i np. odciąć swoje dzieci od porno w sieci to należy zapoznać się z darmową usługą OpenDNS Cisco. Niestety wymagany jest stały adres IP ale ostatnio jest co coraz częściej standardem. Po skonfigurowaniu na domowym sprzęcie (np. DHCP) DNSu OpenDNS, w panelu administracyjnym będzie można wybrać jakiej klasy strony będą niedostępne. Klasyfikacja stron jest robiona na podstawie zgłoszeń społeczności OpenDNS więc jest to dość skuteczne narzędzie. Oczywiście można dodać ręcznie pewne adresy czy też ręcznie je wykluczyć.
W tym miejscu czytelnik na pewno już zgadł jak się bronić przed cenzurą po DNSie. Należy oczywiście skonfigurować sobie DNS położony poza Polską. Najpopularniejszym jest adres 8.8.8.8 należący do Google, czy też 1.1.1.1 od Cloudflare. Serwery OpenDNS też są poza Polską więc cenzura na postawie art. 180 na nich również nie działa.
Najwygodniej ustawić DNSy w konfiguracji usługi DHCP na domowym routerze. Wymaga to dostępu do części konfiguracji domowej sieci. Niestety w urządzeniach typu "Orange FunBox" czy otrzymanych od Netii, UPC czy innego operatora, które są zarządzane zdalnie jest to zablokowane. Wtedy rozwiązaniem jest dokupienie własnego routera i skonfigurowanie sieci. Znajomy sieciowiec (informatyk) jest tu zawsze dobrym rozwiązaniem.
Jeśli nie mamy opcji własnego sprzętu to można w ustawieniach karty sieciowej zmienić DNS z dynamicznego na na statyczny i wpisać na stałe jeden z podanych wyżej. W przypadku sprzętu przenośnego (np. laptopy) istnieje niebezpieczeństwo, że w niektórych miejscach przestaną działać. Wtedy trzeba przywrócić ustawienia dynamiczne.
Konfiguracja telefonu jest bardziej skomplikowana, bo zazwyczaj nie mamy łatwego dostępu do ustawień sieciowych. Na androidzie dostępne są aplikacje pozwalające zmianę DNS. Ale znów uwaga, że w pewnych miejscach internet w tak zmodyfikowanym telefonie przestanie działać. Blokada używania obcych DNSów nie jest specjalnie trudna i nie każda sieć pozwoli na używanie np. DNSu Google.
Poza modyfikowaniem ustawień sieciowych można skorzystać z ustawień DNS w przeglądarce. Część przeglądarek pozwala na konfigurację DoH - DNS over HTTPS. Usługa jest dość kontrowersyjna i dlatego nie polecam.W sieci można znaleźć dodatki do przeglądarek pozwalające na modyfikacje DNS czy też proxy. To jednak rozwiązanie dla bardziej zaawansowanych. Zwłaszcza należy uważać z instalacją dodatków.
Lepszym rozwiązaniem jest używanie VPNa - np. Opera ma to wbudowane w standardzie. Mimo, że spowalnia to przeglądanie to dla zwykłego użytkownika jest rozwiązaniem najprostszym - wystarczy jedno kliknięcie by włączyć i wyłączyć.
Edit: Bardzo dziękuję p. Łukaszowi Warzesze za "reklamę". Cenzor S24 nie uznał notki za godną otagowania.
