Techniczna czkawka poszukiwania linii demarkacyjnej między wolnością słowa, a odpowiedzialnością za słowo

Kiedy w październiku 2008 roku serwisy agencyjne i inne media podawały informacje, że w Australii rząd chce "cenzurować" Sieć, a to w ten sposób, że wszyscy dostawcy usług internetowych będą musieli (na razie eksperymentalnie) filtrować transmisje wychodzącą z kontynentu i doń przychodzącą, nie wiedzieliśmy, że Telekomunikacja Polska pracuje nad podobnymi rozwiązaniami. W Australii były protesty (być może mniejsze niż w Szwecji z okazji wprowadzenia tam retencji danych telekomunikacyjnych, ale jednak coś się działo). W Polsce temat dopiero trafia do świadomości konsumentów mediów, głównie dzięki temu, że TP walcząc z treściami szkodliwymi zablokowała również takie witryny jak stronę GIMP (The GNU Image Manipulation Program), a także część serwerów IRC (Internet Relay Chat). Te ostatnie z obawy przed (baczność!) botnetami.

Australijski rząd zaproponował dostawcom usług internetowych, by wprowadzili filtry. Protestowali internauci, ale pomysł rządowy nie podoba się również samym przedsiębiorcom telekomunikacyjnym. Powody mogą być różne (np. konieczność inwestowania w nowe, niesprawdzone narzędzia filtrujące, również zabieganie o dobry wizerunek wśród konsumentów). Rządowy pomysł polega na tym, by w każdym gospodarstwie domowym oraz w każdej szkole internet był dostarczany po przefiltrowaniu treści. Dorosły mieszkaniec może zgłosić się do dostawcy usług i zażądać zdjęcia filtra. Cel filtrowania? Zapobieganie dostępności treści szkodliwych dla dzieci (chodzi o treści określane mianem "harmful and inappropriate"). Za projekt odpowiada australijski regulator mediów, The Australian Communications and Media Authority (ACMA).

Zagotowało się. W dyskusji publicznej podniesiono oczywiście, że filtry zablokują również inne, niż "szkodliwe", serwisy, niezgodnie z wolą projektodawców "oficjalnej czarnej listy". Pojawiły się strony takie jak Save The Net, które wzywają do działania. Jak wspomniałem - do akcji sprzeciwu (chociaż pewnie z innych pobudek) przyłączyli się również australijscy dostawcy usług. Serwis Webhosting.pl w tekście pt. Australijscy dostawcy Internetu występują przeciwko cenzorskim zapędom rządu (materiał opiera się na publikacji TheAge.com.au) napisał:

...najwięksi australijscy ISP – Telstra i Internode – odmówili podporządkowania się decyzjom władz, stwierdzając, że nie wezmą udziału w testach. Inny duży dostawca, iiNet stwierdził, że do testów przystąpi, ale tylko po to, aby udowodnić, że rządowy plan nie ma szans powodzenia. Z kolei Optus, popularny przede wszystkim w północnej części kraju poinformował, że przeprowadzi testy, ale tylko na ograniczonej liście 1300 witryn, a w dodatku nie będzie uruchamiał głębokiej inspekcji pakietów (DPI), by wychwytywać „nieodpowiednie treści”.

Na ulicach odbyły się zapowiadane demonstracje (por. linki na dole strony).

Głośnym echem w Sieci odbiły się słowa wypowiedziane w innej części świata, a chodzi o słowa sekretarza w brytyjskim Ministerstwie Kultury, Mediów i Sportu, Andy Burnhama, który w wywiadzie dla The Daily Telegraph (chodzi o tekst Internet sites could be given 'cinema-style age ratings', Culture Secretary says) zaproponował wprowadzenie w internecie specjalnych oznaczeń, na wzór oznaczeń funkcjonujących w przemyśle filmowym. Tego już w tym wywiadzie nie ma, ale oznaczanie (nadawanie specjalnych "klas", "certyfikatów" filmom) na całym świecie wzbudza pewne kontrowersje (por. w Wikipedii: Motion picture rating system). A pomysły na oznaczanie treści internetowych pojawiły się jakiś czas temu również w Polsce (por. Prezes Centrum Dobrych Mediów ochroni małoletnich przed szkodliwymi treściami, Jeszcze o Centrum Dobrych Mediów). W Polsce mało kogo interesowała tamta dyskusja. Ponieważ dotyczyła "cenzury" - łatwo można było ją zaszufladkować. Widząc problem "cenzury" opinia publiczna nie widziała tego, że w istocie prawodawca nie wie jak ma podejść do problemu, który chce regulować (ochrona dzieci), nie widziała tego, że próby regulacji opierały się na całkowitym braku wiedzy o sposobie działania internetu (np. całkiem poważnie wypowiadane słowa postulujące, by w pewien sposób oznaczone treści nie były dostępne w internecie po godzinie 22:00).

Jest problem. Jest nim wolność słowa zderzająca się z odpowiedzialnością za słowo. Prawodawcy wielu państw (niezależnych od siebie, co stanowi kolejny problem, bo internet przekracza granice) nie wiedzą, jak mają do tego zderzenia podejść.

"Dajcie mi punkt podparcia". Być może wystarczy znaleźć odpowiednio duży kurek, by nie legislacyjnie, a de facto (technicznie) problemy rozwiązać?

Oto rzecznik prasowy Grupy TP, Wojciech Jabczyński, na firmowym blogu opublikował tekst Nowe zabezpieczenia przed cyberprzestępczością, w którym czytamy:

Telekomunikacja Polska wprowadziła testowo nowe rozwiązanie zwiększające bezpieczeństwo użytkowników sieci TP. Zabezpiecza ono komputery i systemy klientów przed wykorzystaniem ich bez wiedzy właścicieli do cyberprzestępstw m.in. do rozsyłania spamu i wirusów.

Od dziś blokowana jest możliwość komunikacji z adresami IP, z których kontrolowane są komputery wykorzystywane w sieciach Botnet (tak zwane komputery zombie).

Ze względu na to, że sieci Botnet są bardzo często kontrolowane za pośrednictwem serwerów IRC, wprowadzenie nowych zabezpieczeń może spowodować zablokowanie niektórych usług i serwerów tego typu.

Korzyścią dla internautów będzie znaczne zmniejszenie zagrożenia, że ich komputer zostanie wykorzystany do działań przestępczych, a także zmniejszenie ilości spamu i podniesienie bezpieczeństwa danych przesyłanych przez internet.

Z tej okazji od czytelników dostałem szereg maili z prośbą o odniesienie się do tych testowych działań TP. W jednym z takich listów czytam:

Mnie, jak i wielu innym internautom korzystającym z łącz TP nie bardzo przypadło to do gustu, szczególnie że wśród zablokowanych adresów IP znalazły się adresy serwerów:

gimp.org
forum.ircnet.pl oraz irc.ircnet.pl
esr.freenode.net

Inny czytelnik alarmuje w swoim liście:

TP SA tym samym łamie regulamin swoich usług (DSL, Neostrada), w który pisze o nieograniczonym i stałym dostępie do Internetu.

Problem nie dotyczy niestety tylko oferty Tp SA lecz także lokalnych dostawców, którzy odkupują od TP SA łącza.

TP SA wrzuciła do "jednego wora" wszystkich, także tych, którzy nie stwarzają zagrożeń dla użytkowników TP. By zapewnić użytkownikom jak największe bezpieczeństwo, TP SA w takim razie powinno odciąć w ogóle dostęp do Internetu, gdyż zagrożenie "czai się tu na każdym kroku".

A więc pojawia się kilka kolejnych problemów. Czy dostawca usług internetowych może decydować o swojej usłudze? To podstawowa kwestia. Wprowadzenie blackholingu, czyli blokady dostępu do jakichś usług, ewentualnie do adresów IP, które uznaje się za "szkodliwe", można ocenić na gruncie obowiązującego regulaminu usług danego przedsiębiorcy (którym jest związany, ale który można oceniać z powszechnie obowiązującym prawem, np. czy nie zawiera klauzul abuzywnych, itp.; gdyby ktoś chciał to analizować, to dostępny jest w Sieci regulamin świadczenia usługi neostrada tp (PDF)), ale regulamin można zmienić i pojawia się pytanie szersze: jaką rolę odgrywają pośrednicy w realizacji konstytucyjnych praw do pozyskiwania i rozpowszechniania informacji? Zgodnie z Konstytucją RP, a konkretnie - z art. 54 tejże:

1. Każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji.

2. Cenzura prewencyjna środków społecznego przekazu oraz koncesjonowanie prasy są zakazane. Ustawa może wprowadzić obowiązek uprzedniego uzyskania koncesji na prowadzenie stacji radiowej lub telewizyjnej.

Jednocześnie mamy przecież zasadę swobody prowadzenia działalności gospodarczej i na jej podstawie usługodawca sam może - w granicach danych przez prawo - świadczyć usługi jakie chce i jak chce (powtarzam - w granicach danych przez prawo). Orzecznictwo światowe stanęło już przed takim problemem w kontekście spamu. Uważni czytelnicy pamiętają, jak entuzjastycznie pisałem w 2005 roku: Wygrał XS4ALL!!! Można blokować spam!, gdy holenderski Sąd Najwyższy uznał, że firma XS4ALL ma wyłączne prawo do decydowania o swoich komputerach, transmisji danych i danych swoich klientów, a więc o swoim systemie komputerowym ("that XS4ALL has exclusive rights to its computer capacity, transmission capacity and customer base (its computer system)"). Podobne orzeczenie zapadło w Texasie, a dotyczyło jednej z wyższych uczelni: W USA też można blokować.

W gruncie rzeczy chodzi dziś o wyznaczenie granicy możliwości obiegu informacji (por. Ograniczanie i kontrola dostępu oraz kanałów dystrybucji), a to związane nie tylko ze spamem, nie tylko np. z prawami autorskimi (blokownie pozyskiwania informajci gromadzonych na nośnikach, jak w technologii DRM), dokładnie to samo zagadnienie związane jest z problematyka filtrowania. Spam, prawo autorskie i filtry (wprowadzane z różnych powodów: aby dzieci nie miały dostępu do "szkodliwych" treści, aby pracownicy nie rozpraszali się wykonując swoje obowiązki pracownicze, aby skutecznie walczyć z terroryzmem, itp).

Wolność słowa nie jest nieograniczona; wolność słowa ma granice np. tam, gdzie "swobodna wypowiedź" może godzić w prawa i wolności innych osób. Nikt nie będzie dziś chyba twierdził, że w granicach wolności słowa mieści się rozpowszechnianie nieprawdziwych, kłamliwych informacji o kimś innym. Mamy też inne ograniczenia: kłamstwo oświęcimskie, zniewaga głowy państwa, manipulacja dotycząca informacji na temat walorów notowanych na giełdzie papierów wartościowych, pornografia z udziałem małoletnich, stanowiące delikt nieuczciwej konkurencji wprowadzające w błąd oznaczenie przedsiębiorstwa, nieuczciwa reklama, itp...).

Do tej pory system starał się jakoś sobie radzić. Teraz wprowadza się techniczne ograniczenia tam, gdzie system prawa (w szczególności orzecznictwo, które działa "opieszale", bo prawo materialne może być pełne pięknych i słusznych regulacji) nie radzi sobie z przeciwdziałaniem pewnym zachowaniom, wykraczającym poza przyjętą (w procesie politycznym) normę społeczną.

Znamy to też z innych dziedzin prawa: mamy wszak ochronę dóbr osobistych, a wśród nich dobro, jakim jest prywatność. Pójść do sądu może każdy, a sąd za 5 lat wyda wyrok. To kosztowne, czasochłonne i może okazać się nieskuteczne - zwłaszcza w dobie "nowych mediów", gdy nadawcą komunikatu może być praktycznie każdy, a tożsamość takiego nadawcy komunikatu może pozostać nieznana (a więc i brak będzie informacji potrzebnych do skierowania przeciwko odpowiedniej osobie środka ochrony; por. również Wyrok ETPCz: prawo dochodzenia roszczeń w przypadku naruszenia prywatności). Dlatego pojawiła się ewolucja ochrony prawa do prywatności w kierunku ochrony administracyjnoprawnej, a więc - w założeniach - szybszej i działającej często z urzędu ochrony danych osobowych. Ochrona prywatności i ochrona danych osobowych to dwie różne sfery działania prawa, chociaż ochrona danych osobowych wspiera ochronę prywatności. Stolik negocjacji społecznych może zostać przewrócony, gdy zostanie zrealizowana koncepcja powszechnej identyfikacji nadawców komunikatów, jaką przedstawiłem w tekście Rozważania o anonimowości i o przesyłaniu (niezamówionych) informacji. Stolik może być przewrócony, gdy okaże się, że administracyjnoprawna ochrona jest nieskuteczna (por. GIODO: imię, nazwisko, zdjęcie, szkoła, klasa i rocznik - łącznie - nie są danymi osobowymi...).

Powszechna identyfikacja nadawców komunikatów, na wzór klasycznego, prasowego "impressum", dać może możliwość skierowania roszczeń wobec konkretnej osoby, ale przecież zniweczy często, albo mocno ograniczy, prawo do prywatności. Pojawia się wreszcie problem "anonimowej komunikacji". Czy mamy prawo do anonimowej komunikacji? Prawo nie działa w próżni, musi wychodzić na przeciw społecznemu zapotrzebowaniu. Oczywiście są problemy takie, z jakimi zmagają się dziś Niemcy w kontekście przeciwdziałania terroryzmowi (por. Jednym głosem przewagi przyjęto w Niemczech nowe uprawnienia inwigilacyjne BKA, Zdalne przeszukanie komputerów (niemieckich) obywateli - cd. dyskusji, Koń jaki jest, nie każdy widzi, czyli niemieckie prace nad projektem "Federal trojan"). Oczywiście te problemy zderzają się z innymi mechanizmami, znanymi demokratycznym państwom prawa, takimi, jak ochrona tajemnic prawnie chronionych, w szczególności tajemnicy dziennikarskiej (w Polsce por. Zabezpieczenie redakcyjnych komputerów a tajemnica zawodowa dziennikarzy).

Pokazuję zbyt szeroki kontekst? Być może. To co widzimy teraz, a więc wprowadzanie mechanizmów filtrujących, odformalizowanych mechanizmów inwigilacji, w tym retencji danych, pomysły na odcinanie od internetu ludzi, którzy naruszają (trzykrotnie) prawa autorskie (por. P2P w Unii Europejskiej, petycja przeciwko koncepcji "tri-strike and you're out" - a to przecież bez sądu, mocą sprawczą dostawcy usługi będącego pod presją dysponentów praw), to konwulsyjne próby uporania się z problemami wynikającymi z ewolucji informacyjnej (można ją nazwać rewolucją ze względu na dynamikę zdarzeń, rozwoju technologii komunikacyjnych, doniosłości społecznej związanej z globalnym charakterem komunikacji).

Czy blokować, filtrować, wprowadzać bardziej restrykcyjne monopole informacyjne (w tym prawa związane z autorstwem) i chroniące te "wynalazki" zasady stosowania technicznego (już nie administracyjno prawnego) wsparcia - to jest decyzja polityczna. Identyfikacja aktorów społeczeństwa informacyjnego, tj. nadawców i odbiorców komunikatów, jest kusząca, bo w takim przypadku każdy będzie odpowiadał za własne działania. W tym przypadku spór przeniesie się na inną płaszczyznę: debata będzie dotyczyła materialnych granic wolności słowa. Czy nawoływanie do obalenia władzy w niedemokratycznie funkcjonującym społeczeństwie powinno być poddane restrykcjom takim samym, jak rozpowszechnianie pornografii z udziałem (prawdziwych) dzieci, i jaka jest różnica między tymi sytuacjami, a np. uzasadnioną w demokratycznym państwie prawa krytyką działania władzy publicznej, sprawowanej z mandatu społecznego, oraz działaniem w ramach swobody działalności twórczej (gdy zamiast seksualnego aktu lub "innej czynności seksualnej" artysta przedstawi nagiego cherubina (na oko w wieku poniżej 15 lat)? Pojawiają się tu problemy proceduralne, a więc gwarancje nieprzekraczania granic przyzwolenia społecznego przez tych, którzy kontrolują, filtrują i blokują (Quis custodiet ipsos custodes?, kto kontroluje tych, którzy kontrolują nas? - to pytanie dobrze widać w dyskusji o zasadach i ramach prawnych wprowadzania monitoringu miejskiego; por. dział CCTV niniejszego serwisu).

Testowanie dziś narzędzi filtrujących i blokujących w skali globalnej i lokalnej (niezależnie od tego, czy dotyczy pornografii dziecięcej, uciążliwej reklamy, czy związanej niekontrolowanym przez uprawnionych z mocy prawa do wyłącznego decydowania o wykorzystaniu utworów obiegiem kultury), to swoista czkawka na progu zmiany stosunków społecznych. Nie wiem, czy będziemy mieli prawo do anonimowej komunikacji (a jak wszystkich da się zidentyfikować, to da się też niektórych zablokować, a raczej - osądzić; dziś raczej opinia publiczna sceptycznie podchodzi do tej koncepcji, bo przecież nie ma mechanizmu powszechnej identyfikacji, a pomysły takie w rękach zupełnie niekontrolowanych technomagów społeczeństwa informacyjnego mogą być wykorzystywane do osiągania wcale nie społecznych celów, a wręcz wykorzystywane przeciwko członkom tego społeczeństwa).

Czkawką taką są dziś również takie narzędzia prawne, jak notice and takedown. Bo przecież "nie możemy ponosić odpowiedzialności za działania naszych użytkowników" - twierdzą dostawcy usług internetowych i dlatego w regulacjach świadczenia usług drogą elektroniczną wylobbowali na całym świecie - czy to w USA na podstawie DMCA, czy to w Polsce, na podstawie art. 14 ustawy o świadczeniu usług drogą elektroniczną - wprowadzenie wyłączeń odpowiedzialności, gdy się nie wie, co w tych łączach między użytkownikami jest przesyłane. Ale i tu widać pułapkę: skoro wprowadzacie techniczną blokadę i filtrowanie - możecie stać się odpowiedzialni (w świetle prawa, albo przynajmniej w ocenie aksjologicznej danych mechanizmów społecznych) za przesyłane waszą infrastrukturą teleinformatyczną treści...

O Australijskim zamieszaniu czytaj w następujących źródłach:

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Spocznij?

Nie ma spocznij po botnetach i całego posta czytałem na stojąco... ;)

Jest i winowajca :)

Na pl.internet.polip wypowiedział się w tej sprawie Dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów Teleinformatycznych, TP S.A.

Odpowiedź mi się podoba

VaGla's picture

Przy okazji przypomniało mi się, jak opinia publiczna najeżdżała na TPSA za to, że Polska jest w czołówce światowego spamu: TPSA na pierwszym miejscu. Coś robią, żeby nie być w czołówce. Pytanie, czy ten projekt rzeczywiście spełnia wszystkie punkty przedstawione postulatywnie przez dyr. Rafała Jaczyńskiego:

(...)
W dużym telekomie zwykle jest tak, że pomysł,
żeby mógł się wydarzyć musi spełniać łącznie przynajmniej następujące warunki: a) być wykonalny b) realizować przynajmniej częściowo ważne cele c) nie powodować irytacji klientów skutkującej znacznym churnem d) nie dawać klientom formalnych podstaw do zerwania umowy e) być opłacalny (czyli bardzo tani lub przychodowy) lub konieczny np. regulacyjnie. f) nie irytować regulatora (ponad miarę ;)
(...)

O tym się pewnie dowiemy. Wedle tego postu opublikowanego na pl.internet.polip:

(...)
W przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk. Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu do bazy abonentów i blokowanych adresów. Po prostu klęska.
(...)

--
[VaGla] Vigilant Android Generated for Logical Assassination

Hmm, po moim telefonie na

Hmm,
po moim telefonie na 9393 z reklamacja i informacji, że i tak jej nie uwzględnią chciałem sprawdzić co jest cięte.
Prosty skrypt i wynik wygląda następująco:
na 1000 losowych adresów IP, routing urywa się na routerze brzegowym TPSA dla 320-380 adresów.

To jest 1/3 !!!

Nie musicie mi wierzyć - dlatego zachecam do sprawdzenia. Wieczorkiem zamierzam usiąć i dokładnie popatrzeć na przyczyny dla których ruch jest blokowany (może nie są przydzielone dane adresy, może rozsyłają spam, może ...)

Wracająć do gimp'a to:
Miły pan z 9393 odesłał mnie na stronę www.senderbase.org gdzie miała byc infomacja jaki to ten host jest zły dla internetu - tylko, że wg. tej strony to jest to host:
SenderBase reputation score Neutral

TPSA jak już robi takie akcje z filtrowaniem ruchu, to powinna przynajmniej wyszkolić ludzi aby wiedzieli czemu, a nie wciskali kit. ("Czy słyszał pan o czymś takim jak BGP blackholing?" - ja akurat słyszałem, ale po chwili rozmowy okazało się że pan z 9393 oprócz nazwy nie wie nic więcej :))

Jeśli o mnie chodzi, to już złożyłem reklamacją w której jest informacja, że traktuję takie coś jako niedostępność usługi.
W poniedziałek idzie polecony za potwierdzeniem odbioru z reklamacją na piśmie.
Zachęcam do innych którym to przeszkadza, do tego samego.

A co samej idei filtrowania przez TPSA - jak chcą poprawić bezpieczeństwo niech tzw. "pakiet bezpieczeństwa" udostępnią swoim klientom za darmo aby korzystali.

Dalej zastanawia mnie, czy skoro wiedzą, że komputery ich klientów są zainfekowane i służą popełnianiu przestępstwa (ba wg. pana z 9393 wiedzą nawet które) a nie zgłoszają swoim klientom, to czy to nie podpada pod jakis paragraf z pomaganiem w przęstępstwie?

Ależ nie 1/3...

Aktualnie w wyniku wprowadzonych przez TP S.A. zabezpieczeń zablokowanych jest nieco ponad 6000 adresów IP, z całego świata. Jestem skłonny ufundować skromną nagrodę mojego imienia dla autora dowodu twierdzenia, że jest to jedna trzecia światowej puli adresowej IPv4... ale nie wiem, czy słodycz wygranej zrównoważy pewne ubytki w reputacji autora ;).

Ponieważ jedna z dłuższych, bardziej szczegółowych i merytorycznych dyskusji na temat wprowadzonego przez TP rozwiązania toczy się na grupie pl.internet.polip zachęcam osoby zainteresowane do udziału w dyskusji tamże, nie jestem w stanie wyjaśniać wszystkiego na każdym forum.

Popracujemy oczywiście nad jakością wsparcia na 9393 w tym zakresie, mamy w tym względzie sporo do poprawienia.

Pozdrawiam,

Rafał Jaczyński
Dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów Teleinformatycznych, TP S.A.

Hmm, zależy jak

Hmm, zależy jak interpretować dane. ;)

Proponuję uruchomić sobie taki skrypcik:
for HOST in `nmap -iR 1000 -n -sL | cut -d" " -f2 | grep [0-9].*\.[0-9].*\.[0-9].*\.[0-9].*` ; do [ `mtr -r -c 1 $HOST | wc -l` -eq "5" ] && echo $HOST is BLOCKED ; done

I odpowiednio zmienić cyfrę 5 na właściwą (może być inna).

U mnie na 290 uruchomień skryptu dla 250 mam wyniki z zakresu: 246-381. :)

Proszę uruchomić i popatrzeć gdzie ginie ruch :)
(Dokładnie na routerze brzegowym).

Jak widać więc jestem w stanie udowodnić swoje słowa:
"Prosty skrypt i wynik wygląda następująco:
na 1000 losowych adresów IP, routing urywa się na routerze brzegowym TPSA dla 320-380 adresów."

Czy sprawdzenie 29000 losowych adresów IP dla których routing kończy się na routerze brzegowym TPSA z prawdopodobieństwem 0.31671 (31,671%) wystarczy abym dostał drożdżówkę? :)

Natomiast dla większości (z braku czasu sprawdziłem na razie tylko kilkanaście losowych adresów) mamy informację:
% Network not in table

Dla blokowanych przez TPSA jest informacja inna.

Wniosek na chwilę obecną:
Faktycznie nie ma ruchu do większości z tych adresów z powodu innego niż blackholling.

Obiecuję, że przed pójściem spać pozwolę sobie zapuścić skrypt sprawdzający wszytskie te adresy pod tym kątem i wynikami się podzielić publicznie.

Pozdrawiam
I z jednej strony popieram (wreszcie rusza się coś z bezpieczeństwem), z drugiej (a o drugiej napiszę w P.S.). :)

P.S.
To czego nie popieram to ciągle kwestia serwisu gimp.org.
Gimp.org to nie tylko serwer IRC, ale to przede wszystkim serce ważnego, wolnego programu graficznego. Tam są informacje o nowych wersjach, o plug-inach (co jest bardzo ważne, bo rozszerza funkcjonalność programu).

Nie oszukujmy się, ale w praktyce w Polsce, z grafiki bitmapowej dla typowych użytkowników domowych jest Gimp i jest Photoshop.

Nie znam nikogo, kto kupił prywatnie Photoshopa - więc jest to program piracony.

A odnośnie piracenia i zagrożeń z tym idących - MicroSoft stwierdził, że 1/3 ich piratowanego oprogramowania zawiera dodatki (wirusy, backdoory, ...) - co do % to mogę się mylić.

Do czego dążę?

Do rzeczywistości, która mówi, że blokując gimp.org dajemy zwykłym użytkownikom powód do ściągnięcia pirata z dodatkiem.

A cała akcja z blackhollingiem jest po to, aby ograniczyć wpływ takich dodatków na internet.

Co powinno się zrobić? A mianowicie, to co się robi w każdej dużej firmie. Priorytet ma biznes. Czyli w tym przypadku, robi się wyjątek.

Wyjątek polega na:
1. Usunięciu adresu IP gimp.org z blackhollingu
2. Dodan użyciu ACL'ek które blokują niepożądany ruch IRC (bądź nawet mocniej, które puszczają tylko ruch http + to co jeszcze potrzebne użytkownikom.

Ja wiem, że to boli (wydajność), ale Rafale, pokazałeś już że masz "twardą d..ę" i wierzę że jesteście w stanie to poprawnie zaimplementować. [Uwaga do moderatora - jeśli tym zdaniem naruszyłem zasady publikacji, to proszę słowo d..ę zastąpić 4-ma kropkami]

Pozdrawiam raz jeszcze i życzę wytrwałości w dążeniu do celu (bezpieczeństwa) z jednoczesnym jak najmniejszym irytowaniem klientów.

Drożdżówka się należy...

...za samo zdanie "Faktycznie nie ma ruchu do większości z tych adresów z powodu innego niż blackholling". Teraz trzymam kciuki, żeby nius wydał się wystarczająco sensacyjny i godzien skopiowania na paru portalach ;).

Co do GIMPa - implikacja działa niestety w jedną stronę, więc z tego, że mam twardą d..ę (proszę tego NIE wycinać, to by była CENZURA ;) nie wynika niestety, że mam miękkie serce. Ale powiem, jak zrobimy: postaramy się GIMPa odblokować dużo wcześniej, niż wynikałoby to z przyjętych aktualnie zasad. Potrzebuję tylko dowodu, no nawet poszlaki, że administrator serwisu (dzisiaj poinformowany przez TP CERT po raz drugi) zabrał się raźno do pracy i ciemna strona GIMPa jest już historią. Niech mi tylko da szansę i kupi ten los...

Pozdrawiam,

Rafał Jaczyński

Jak będę w w-wie to się

Jak będę w w-wie to się zgłoszę po drożdżówkę :)

Co do nierutowanych adresów IP to z tych, co udało mi się sprawdzić, to żaden z nich nie trafia w blackholling.
Natomiast chyba zostałem zblokowany, bo od jakiegoś czasu moje zapytania do lg.tpnet.pl robią timeout :(

Więc podsumowując: nie jest to wina blackholling!

Na dodatek ci operatorzy, z których sieci testowałem dodatkowo losową część z tych "blokowanych" adresów także nie wypuszczają takiego ruchu poza swoje brzegowe routery.

Tak coś mi nie pasowała ta 1/3.

Swoją drogą, to zastanawiające jak to możliwe, że przy kończących się adresach IPv4 1/3 ich nie jest wykorzystywana. Ale to temat na inną dyskusję.

A wracając do GIMP.org, chyba nie do końca zostałem dobrze zrozumiany.

Jeśli IRC serwer na gimp.org pośredniczy w kierowaniu "brzydkim ruchem" to go blokujcie!
ALE odblokujcie dostęp po HTTP - aby można było ściągnąć program, dostać się do informacji o plug'inach itd.
Pisząc, że masz twardą pewną część ciała widzę to, że nie poddajesz się fali krytyki, czy też potrafisz ruszyć do przodu trudne do wykonania działania.

Czekam teraz na coś jeszcze trudniejszego, bo wymagającego wprowadzenia dodatkowych komplikacji organizacyjnych i technicznych. Ale wierzę, że to jest wykonalne.
Jak IRC pośredniczy i tylko IRC tam jest użyjcie blackholling. Ale jak jest na tym samym IP coś jeszcze co jest dla dużej ilości ludzi ważniejsze niż IRC, to zrób wyjątek i zablokujcie tylko IRC na tym IP, a resztę ruchu (tą ważniejszą) przepuście.

Pozdrawiam

Jest i polski mirror gimp.org...

...ktory zorganizował portal Linux.pl.

A właściwie to czemu padło na GIMPa?

VaGla's picture

Pewnie TPSA musiała mieć jakieś dobre powody, dla których zablokowano (przy okazji?) dostęp do GIMPa. Ciekawy jestem jakie to były powody? Czy z maszyny, na której stoi witryna GIMPa szedł jakiś "niedobry" ruch, czy też to się stało "przy okazji"?

PS
Już widzę wyjaśnienie w Linux.pl:

Blokada dostępu do gimp.org spowodowana jest zablokowaniem przez TP (w imię walki z botnetami) dostępu do wielu serwerów IRC (poprzez tzw. null route); witryna gimp.org została zablokowana ponieważ na tym serwerze działa także jeden z zablokowanych serwerów IRC (irc.gimp.org).

--
[VaGla] Vigilant Android Generated for Logical Assassination

więcej infromacji

Więcej informacji w poście Andrzeja Karpińskiego w tym samym wątku na polipie:

Jesli widzisz 997 to znaczy ze 'zlapal' odpowiedni score! [...] Blackholowane sa IPki ktore "w ciagu ostatnich 15 min obslugiwaly botnet, ktory rozeslal spam, ktory pojawil sie w wiecej niz jednej sondzie na swiecie". Dane sa sciagane z kilku zrodel i kompilowane w spojna liste adresow, z dolozonym score (zainteresowanym moge podac szczegoly). *Wszystkie* IP, ktore spelniaja wyrazenie (prawie regularne) w cudzyslowiu sa blokowane automatycznie.

Szkoda tylko, ze od 6 rano w

Szkoda tylko, ze od 6 rano w logach serwerow poczty mam ponad 5000 odbitek z tpnet.pl.

Dlaczego nie zablokuja w druga strone? Czyli zombie w ich (TPSA) sieci?

Aaaa wiem, bo przecietny kowalski nie ma pojecia ze ma zawirusowany komputer i bedzie robil problemy. A przeciez mozna zrobic takim komputerom przekierowanie na odpowiednia strone wraz z narzedziami do pobrania i latwego usuniecia wirusow.

Rozwiazanie naprawde bardzo proste i skutechne, ale pewnie w gre wchodza tylko rozwiazania nie wymagajace inwestycji, albo maja zbyt wielki balagan, zeby cos takiego wprowadzic.

A bo należało mu się...

Tak, rzeczywiście z adresu, pod którym działa m.in. witryna gimp.org szedł "niedobry ruch" ;). Niestety zdarza się, że na serwerach w pełni legalnych usług uruchamiane są również usługi (za wiedzą, lub bez wiedzy ich administratorów) pozwalające na realizowane za ich pośrednictwem kontroli nad botnetami. Tak było w przypadku gimp.org - jeśli taka sytuacja nie będzie się powtarzać "bezpośredni" dostęp do witryny zostanie odblokowany. Warto podkreślić, że wskazywanie wciąż na gimp.org jako przykład nieprawidłowego działania nowego zabezpieczenia wynika również z faktu, że w skali wdrożenia obejmującego miliony klientów i potencjalnie tysiące adresów o problemach z dostępem do pojedynczych serwisów.

Korzystając z okazji - gratuluję artykułu, znakomity. Zwrócę tylko uwagę na jeden bardzo istotny fakt: inicjatywa australijskiego rządu nie ma nic wspólnego z celami najnowszego zabezpieczenia w TP. Wbrew zawartemu w artykule stwierdzeniu, że "TP walcząc z treściami szkodliwymi zablokowała..." inicjatywa TP nie miało nic wspólnego z jakąkolwiek treścią (content) publikowaną bądź przesyłaną w Internecie. Ograniczenia zostały nałożone na serwery z których były prowadzone działania stanowiące zagrożenie dla użytkowników Internetu (de facto rodzaj ataków sieciowych)...a jest to obszar, w którym zwykle od zespołów CERT (Computer Emergency Response Team) wymagana jest właśnie reakcja.

Wprowadzenie narzędzi pozwalającym użytkownikom Internetu na ochronę przed treściami niebezpiecznymi (dla nich lub ich dzieci) będzie niewątpliwie i w Polsce tematem odrębnej dyskusji; nie wydaje mi się, żeby polskie inicjatywy w tym zakresie były obarczone "podejściem australijskim" (polegającym na pozostawieniu decyzji co do "właściwości" treści po stronie rządu). Na pewno w każdym razie jest to temat inny, niż testowany aktualnie przez TP blackholing - każdy przecież intuicyjnie rozumie, że czym innym jest prawo do swobodnego wyrażania i pozyskiwania opinii, myśli i przekonań, a czym innym prawo do bycia zaatakowanym na ulicy ;).

Pozdrawiam serdecznie,

Rafał Jaczyński

Dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów Teleinformatycznych, TP S.A.

To kontekst "ostatnich dni"

VaGla's picture

Korzystając z okazji - gratuluję artykułu, znakomity. Zwrócę tylko uwagę na jeden bardzo istotny fakt: inicjatywa australijskiego rządu nie ma nic wspólnego z celami najnowszego zabezpieczenia w TP.

Pokazałem jedynie pewien kontekst ostatnich dni. Faktem jest, że w Australii rozpoczęła się dyskusja. Dyskusja ta toczy sie w Wielkiej Brytanii, w Niemczech i w kilku innych krajach. Każdy z tych przypadków jest inny. Telekomunikacja Polska z racji swojej pozycji na rynku polskim ma potencjalnie narzędzia do konfiguracji swoich usług w każdy z dyskutowanych na świecie sposobów. W tym sensie przykłady są potrzebne, by można było się do nich odnieść. W komentarzach zresztą pokazuję też kontekst walki ze spamem i tego, że czerwieniły się nam uszy, gdy ruch z TP wykazywany był na szczycie "spamerskich list rankingowych". Można pokazać jeszcze jeden kontekst, a mianowicie tekst Walka ze spamem: dlaczego czuję się lekceważony przez rząd? oraz "samoregulacyjną" akcję propagandową związaną z blokowaniem ruchu z i do McColo. Wiadomo, że jeśli TP nie "zagęści" ruchów, to ktoś spółce nakaże takie ruchy zagęścić, a to już będzie "polityka" i prawdopodobnie - ktoś tak może do tego podchodzić - lepiej bazować na "samoregulacji", niż pozwolić na powstanie powszechnie obowiązującego prawa regulującego nasz biznes w nie tak wygodny sposób, jakbyśmy sobie tego życzyli (nie twierdzę, że pomysły legislacyjne są zawsze racjonalne, po prostu znów pokazuję pewien kontekst).

Odnośnie CERTu proponuję też teksty Czy sprawdzając dziury CERT sprawdza też legalność witryn rządowych? oraz W konsultacjach: Rządowy program ochrony cyberprzestrzeni RP.

Korzystając z okazji pragnę podziękować, że - wobec tak wielu interesujących dyskusji na temat działań TP - zechciał Pan również na tym forum zabrać głos.
--
[VaGla] Vigilant Android Generated for Logical Assassination

głos

Korzystając z okazji pragnę podziękować, że [...] zechciał Pan również na tym forum zabrać głos.

Z rozmów ze znajomymi administratorami odnoszę wrażenie, że przemówienie przez TPSA ludzkim głosem (za pośrednictwem p. Rafała) jest wydarzeniem wielokrotnie ważniejszym od samego blackholingu...
Trzymam kciuki aby to nie był pojedynczy incydent :)

Hmm

Świetnie tylko dlaczego firma nie skorzystała z punktu regulaminu który informuje każdego klienta o tym, iż jego komputer zostanie odcięty od usługi w przypadku, gdy jest on zagrożeniem dla sieci? Natomiast nie znalazłem jak na razie punktu, który by mnie informował, że dostawca będzie mi udostępniał witryny według własnego uznania.

Panie Jaczyński. Jako osoba

Panie Jaczyński.

Jako osoba wykupująca od TP usługę internetu nie godzę się na takie działania!

Skutek działań "bezpieczeństwa" z państwa strony jest taki, że nie mogę wejść na stronę mojej uczelni i kształcić przez e-learning.

W związku z tym rozważam możliwość wejścia na drogę sądową wraz z natychmiastowym rozwiązaniem umowy z TP z Państwa winy za spowodowane przez TP koszty poniesione przeze mnie powstałe w wyniku tej blokady.

Z poważaniem,
Student.

Panie Student...

...czy mógłby Pan podzielić się ze mną wiedzą, jakiej uczelni (adres IP, domena, cokolwiek) dotyczy opisany przez Pana problem?

Niestety do dzisiaj nie otrzymałem informacji, żeby jakakolwiek uczelnia zgłosiła nam zastrzeżenia. A na pewno skontaktowalibyśmy się z nią w celu wsparcia w diagnozowaniu i rozwiązywaniu problemu z bezpieczeństwem jej serwisu.

Bez tych informacji trudno mi nawet hipotetycznie rozważać kto z kim powinien wejść na drogę sądową...

Pozdrawiam,

Pan Jaczyński

Dodam od siebie

VaGla's picture

Dodam od siebie, że charakter tego forum raczej nie przewiduje zapowiedzi pozywania kogoś, a raczej służy rozważaniom na tematy prawnych aspektów społeczeństwa informacyjnego. Konkretne przypadki (jeśli gdzieś pojawi się spór, który nadaje się do analizy; a tu potrzebna jest wiedza na temat stanu faktycznego, na temat dokumentów, decyzji wydanych w danej sprawie, być może również wyroków) służą raczej dyskusjom na temat stanu systemu prawa, oceny jego adekwatności do obserwowanych stosunków społecznych, itp. Nie chciałbym, aby forum przerodziło się w indywidualny spór między dwoma osobami, lub grupami osób, który by dotyczył personalnych właściwości dyskutanta (dyskutantów). Tu raczej chodzi o dyskusje oderwaną od personalnych właściwości kogokolwiek (chyba, że to istotne dla dyskusji, ale takich sytuacji jest niewiele). Nie jestem pewny, czy wyraziłem się precyzyjnie. To nie jest serwis do rzucania (weń) werbalnych oskarżeń. Jeśli jednak widać przejawy działania (niedziałania) prawa, relacje dotyczące tych przejawów są tu na miejscu.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Biorę udział w kilku

Biorę udział w kilku dyskusjach internautów na ten temat. Nigdzie nie spotkałem się z kategoryczną dezaprobatą, jeżeli chodzi o blokady wprowadzone przez TP S.A.

Głównym celem ich wprowadzenia jest blokowanie komputerom zombie dostępu do serwerów, przez które są kontrolowane. Jest to dość skuteczny pomysł jak myślę. Pan Rafał Jaczyński zauważył także, że:

No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk. Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu do bazy abonentów i blokowanych adresów. Po prostu klęska.

Pytanie trochę ironiczne: Czemu Pan Rafał policzył jedynie maile, które otrzymał? Ja sam wiem o kilkunastu telefonach na infolinię TP, oraz o kilku wizytach w (tele?)punktach TP.

Uważam, że blokowanie powinno być kontynuowane, ale rozszerzone o jedną funkcjonalność. W panelu administracyjnym usługi neostrada tp powinna znaleźć się możliwość zdjęcia blokady na wybrane adresy IP. Jestem świadomym użytkownikiem komputera, i jestem przekonany, że mój komputer nie jest zainfekowany. Czemu mam mieć zabroniony dostęp do tych "niebezpiecznych" witryn?

Zapewne za chwilę ktoś odpowie, że jest to bardzo trudne do osiągnięcia z racji dynamicznych adresów IP w usłudze neostrada tp. Odpowiem, że nie wydaje mi się tak. Jako dowód podam przykład usługi "bezpieczny dostęp":

Bezpiezny dostep - zakładka "Jak włączysz"

Jak widać TP ma możliwości techniczne, aby na podstawie loginu sklasyfikować użytkownika, i zastosować wobec niego inne ustawienia zabezpieczeń.

Głupie pytania?

Czy we Francji Internet jest już bezpieczny dla abonentów, tak jak w Polsce?

Czy jakieś przepisy nie pozwalają państwom kolonialnym na tworzenie poligonów doświadczalnych na własnym terenie (czy tylko nawyki)?

Tp najbardziej by się

Tp najbardziej by się przysłużyła eliminajci spamu gdyby nadali stałe numer ip użytkownikom neostrady. Blokada Polneto to w takim wypadku hipokryzja...

multum tematów

maniak713's picture

Zacznę od blokowania przez TPSA - z jednej strony jest to pewien pozytywny przejaw, sieci obsługiwane przez tę firmę zdobyły sobie zasłużoną (nie)sławę jako siedlisko botnetów i spamerów, więc podjęcie działań by to ukrócić jest niezbędne. Niestety jak to zwykle z pomysłami TPSA, nie do końca przemyślane. Od strony technicznej jest to pójście na łatwiznę. Trudniejsze ale za to bardziej wychowawcze byłoby blokowanie (szczególnie za spam) konkretnego klienta. TPSA ma takie możliwości techniczne, szczególnie od wprowadzenia PPPoE na Neostradzie.

Przechodząc do bardziej ogólnych tematów filtrowania, cenzurowania i klasyfikacji treści internetowych mam wrażenie, że w większości jest to albo populizm albo oszołomstwo (zwykle na bazie religijnej), zaprawiony tu i ówdzie chorobliwą chęcią kontrolowania obywateli.
Nie mam nic przeciwko temu, by providerzy oferowali filtrowany dostęp jako OPCJĘ do wyboru (albo aby użytkownik sobie instalował dowolnie restrykcyjny program filtrujący u siebie) - ale narzucanie tego, bez pytania, wszystkim użytkownikom jest złem. Jestem temu przeciwny zarówno ze względów ideologicznych jak i praktycznych. Te drugie wynikają z licznych dowodów nadużyć: wszystkie reżimy filtrowania państwowego (albo narzuconego przez władze) zaczynają od niekontrowersyjnego blokowania treści zbrodniczych (pornografia z nieletnimi itp), by wkrótce rozrosnąć się na blokowanie różnych innych treści, głównie poglądów niezgodnych ze światopoglądem blokujących, stron oponentów filtrowania, tudzież innych treści, które się "załapały" niesłusznie na jakiś wzorzec (np piersi (pornografia!1!) z kurczaka (ufff!)).

Względy ideologiczne komponują się z kwestiami wolności słowa. Wolność słowa - czy jakakolwiek inna wolność - jest nie w smak rządzącym. Ludźmi wolnymi (i świadomymi wydarzeń) po prostu trudniej się rządzi, mają oni taki głupi zwyczaj upominania się o swoje prawa albo zadawania niewygodnych pytań. Ograniczenie rozpowszechniania informacji i poglądów, zarówno od strony "nadawczej" jak i "odbiorczej" jest więc świetną metodą zabezpieczenia się przed atakiem: jeśli ktoś nie wie o nadużyciach i wątpliwych posunięciach albo lepszych rozwiązania w innych krajach, to nie będzie się "awanturował" tylko odda się spokojnej konsumpcji.
Dlatego wszelkie ograniczenia muszą być traktowane jako zło, na które można zgadzać się wyłącznie w ściśle ograniczonych okolicznościach. Moim zdaniem najlepszy jest obecny model amerykański wolności słowa, w którym jest najmniej zakazanych tematów - a mimo to nie ma tych strasznych skutków nadmiernej wolności, którymi straszą europejscy zwolennicy kneblowania.

Generalnie, filtrowanie, cenzurowanie itp jest z grubsza technicznie wykonalne. "Z grubsza", bo żaden istniejący system nie działa w pełni poprawnie, albo blokując za mało albo za dużo, często też pozwalając się skutecznie omijać. Przykład Chin pokazuje, że przy odpowiednich funduszach liczba użytkowników do blokowania nie jest istotną przeszkodą - większy problem mają z wytresowaniem odpowiedniej liczby oficerów politycznych do klasyfikacji treści.

Z prawnego punktu widzenia również nie ma przeszkód. Co prawda konstytucja coś tam wspomina o wolności komunikowania się i wymiany poglądów ale zaraz dodaje, że ze względu na długą listę wyjątków wszystkiego można zabronić - byle wymyślić jakieś uzasadnienie. Zresztą i bez tego nie byłoby problemu, wszak neutralność światopoglądowa państwa nie kłóci się najwyraźniej z wymaganiem WC w telewizji. Ostatnio co prawda przepis o "kłamstwie oświęcimskim" (OIDP) uznano za niekonstytucyjny, ale pozostaje jeszcze kilka innych myślozbrodni w kodeksie karnym.

W ogóle mam wrażenie jakiejś takiej ofensywy przeciwko wolności w sieci. Z jednej strony rządy chcą tępić różne treści - jawnie te, które uznały sobie prawnie za przestępcze, a po cichu te, które im nie pasują z innych powodów. Z drugiej - wielki biznes chce przerobić Internet na TV wersja 2.0, medium gdzie ograniczony odbiorca ma jedynie konsumować korporacyjna papkę rozrywkową.

Dlatego wydaje mi się, że trzeba zacząć u źródła, bronić wolności słowa "w ogólności" aby w ten sposób zburzyć fundament pod pomysłami ograniczania i filtrowania Internetu (i innych mediów). Niestety w polskich warunkach nie bardzo wiem jak to zrobić, nawet gdyby zebrać odpowiednią liczbę podpisów pod obywatelskim projektem ustaw, to i tak Sejm może ten projekt wrzucić do kosza i uchwalić sobie cenzurę - w imię "moralności publicznej" czy jak to określono.

Panie Rafale pisze Pan, że

Panie Rafale pisze Pan, że "blokujemy aktualnie ponad 6000 IP", przydałby się formularz na Waszej stronie do zgłaszania problemów z dostępem do stron, irc, itp.

PS. Tylko bez przesady z ilością pól do wypełnienia, starczy pole do opisania problemu plus adres e-mail do ew. korespondencji plus zabezpieczenie antyspamowe.

PS2. Tak nawiasem, w normalnym kraju usługobiorcy powinni być wcześniej informowani o ew. problemach wynikających z wprowadzenia nowych rozwiązań wraz z podaniem sposobu zgłaszania ew. problemów. (niestety temu krajowi wiele brakuje do normalności)

Paranoja - ale można to obejść

To istny skandal! W dodatku działania są bezcelowe - wystarczy wejść na stronę http://anonymouse.org (lub inną działającą jak proxy) i dzięki niej ma się dostęp do zabronionych przez monopolistę witryn. Może TP zamiast wdrażać nieudolnie kolejne systemy i wydawać na ich wdrożenie miliony USD wreszcie zacznie robić coś z sensem - np. obsługiwać należycie klientów. Ciekawe czy w oparciu o ten fakt można rozwiązać umowę z TP na świadczenie usługi Neostrada przed upływem terminu umowy?

myślenie nie boli

Po tym wpisie widać, jak ludzie nie ogarniają problemu, w ogóle nie są w stanie pojąć o co kaman. I co z takimi robić? Nie da się wszystkim do głowy łopatą włożyć. Oczywiście nie trudno znaleźć w sieci materiały co to jest BGP blackholing, botnety, w jaki sposób są one sterowane i jakie krzywdy mogą wyrządzić. Ale najwyraźniej się nie chce.

Panie chief, tu nie chodzi, żeby panu osobiści uniemożliwić dostępu do strony, tylko pańskiemu zainfekowanemu komputerowi sterowanemu z IP na którym przypadkiem znalazł się serwis GIMPa. Pan sobie możesz bez problemu (jak pan żeś sam udowodnił) wejść na tę stronkę za pomocą jakiejś anonymouse.org, ale malware trzymający pański komputer w swoich łapskach tego nie wie. I o to się rozchodzi. I tak pański mit o nieudolności systemu został obalony.

Swoją drogą ciekawe, czy ktoś zwrócił uwagę na następujący fakt: pod tym (blokowanym) IP znajduje się jeszcze co najmniej kilka serwisów www (gimp.org jest tylko częścią: www.robtex.com/ip/128.32.112.245.html). Oczywiście nikt nie piekli się, że pozostałe domeny nie są dostępne. Dalej, nie wiadomo ile innych serwisów (nie-www) działa na tym serwerze. Czyli większe prawdopodobieństwo, że któraś usługa jest wykorzystywana do złych celów (w tym przypadku nie był to www, ale irc). Po części GIMP sam sobie jest winny (zwracam uwagę na słowo "po części") - jakby nie zaoszczędził i postawił serwis nie na jakimś virtual hoscie, tylko całkowicie jemu dedykowanym serwerze (a właściwie rozchodzi się o adres IP), to taka sytuacja nie miała by miejsca. No ale cóż, darmowe oprogramowanie, więc pewnie nie stać na inne rozwiązanie... Toż już (CHYBA) nawet prawo.vagla.pl nie współdzieli adresu IP z innymi serwisami ;).

To trochę tak, jak byśmy jechali autobusem, w którym jedzie kilkadziesiąt innych ludzi. Może się trafić niewyżyty pajac, co zrobi zadymę (jakąś szybę wybije, kasownik oberwie). Kierowca zatrzymuje autobus i czeka na policję. Kilkadziesiąt minus jedna osób jest spóźnionych przez niego do pracy/szkoły/uczelni/na mszę. Tylko niepoważny człowiek miałby w tym przypadku pretensje do kogokolwiek oprócz samego pajaca. A my jadąc komunikacją zbiorową musimy liczyć się z takimi przypadkami. Cierpimy z powodu innych (nie z własnej winy), ale przecież w końcu nie stać nas na prywatny samochód lub "dedykowaną" taksówkę ;).

No ale łatwiej pisać o cenzurze nie zagłębiając się w temat.

Pan sobie możesz bez

PablO's picture

Pan sobie możesz bez problemu (jak pan żeś sam udowodnił) wejść na tę stronkę za pomocą jakiejś anonymouse.org, ale malware trzymający pański komputer w swoich łapskach tego nie wie.

Nawet jeżeli to prawda, to nie łudziłbym się, że taki stan długo potrwa.

w Belgii trochę inaczej zrobili

cezio's picture

Tymczasem Belgowie odgórnie wyłączyli domeny .be, pod którymi działały 'złe' strony: http://bothunters.pl/2009/02/06/prawie-jak-dns-blackholing-w-wykonaniu-belgijskim/

Blokowanie IP

kravietz's picture

Ja osobiście od dawna blokuję ~kilkadziesiąt tysięcy IP na swoim routerze domowym, podobnie robiłem w firmach gdzie stawiałem bramki na BSD lub Linuksie. Serwisy, z których korzystam to DShield, iBlocklist, Spamhaus, Nixspam, Emerging Threats i http:BL. Co więcej jest to praktyka, którą wszystkim polecam w celu odizolowania się od botnetów czy sieci takich jak Russian Business Network.

Istotne jest natomiast to, że część z tych list ma bardzo szeroki zakres blokowania, a część węższy. Mi zajęło parę dni eksperymentów zanim ustaliłem, które z nich odpowiadają moim potrzebom, bo po włączeniu niektórych blokowało mi np. strony Wirtualnej Polski.

W przypadku operatora tak dużego jak TPSA blokowanie bez pytania to zbyt mocny środek. Filtr powinien być domyślnie włączony ale z możliwością wyłączenia (opt-out). Jeśli technicznie jest to niewykonalne to należy nie wpuszczać routingu w czarną dziurę, tylko przekierować na serwer, który wyjaśni co i jak z możliwością zgłoszenia reklamacji. Tak się to robi we współczesnych produktach ograniczających dostęp do sieci.

BTW jakieś 10 lat temu na tym samym polipie ja sam jeździłem po TPSA, że nie robi egress filteringu. Następnie, że jest na czołowych pozycjach Senderbase. Zatem pomysł świetny, trzeba tylko popracować nad szczegółami.

--
Podpis elektroniczny i bezpieczeństwo IT
http://ipsec.pl/

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>