Palec amerykańskiego rządu na globalnym przełączniku domenowym

W miniony piątek wiele z torrentowych serwisów internetowych zablokowano w wyniku działań amerykańskiego Departamentu Spraw Wewnętrznych. Na grafikach pojawiających się pod "zablokowanymi" domenami widać "pieczęci" (loga) Departamentu Sprawiedliwości oraz jednej z części Departamentu Spraw Wewnętrznych - National Intellectual Property Rights (IPR) Coordination Center (bardzo groźnie wyglądające logo, przedstawiające atakującego orła). Wedle komunikatów - domeny zostały zablokowane w wyniku postanowienia sądu dystryktowego... W komentarzach na temat tego zdarzenia pojawia się problem kontrolowania przez USA światowego systemu domenowego (DNS). Amerykanie mogą zmienić wpisy DNS dowolnej domeny, a w wyniku tego domena taka zostanie "zablokowana" (odwiedzający zostanie przekierowany zgodnie ze zmodyfikowanym wpisem DNS). Zastanawiam się, czy w ten sposób również postąpią z Wikileaks.org, w którym to serwisie właśnie ujawniane są dokumenty amerykańskiej dyplomacji...

Zacznijmy od serwisów torrentowych. W poprzednim tekście pt. Sąd apelacyjny podtrzymał wyrok przeciwko twórcom The Pirate Bay odnotowałem wyrok sądu apelacyjnego w Szwecji. Równolegle z USA przybyła informacja o zablokowaniu ok. 70 domen związanych z serwisami torrentowymi. Chodzi o to, że zmieniono wpisy DNS i w ten sposób przekierowano odwiedzających do noty zaczynającej się od treści: "This domain name has been seized by ICE — Homeland Security Investigations, pursuant to a seizure warrant issued by a United States District Court under the authority of 18 U.S.C. §§ 981 and 2323". O tej "blokadzie" można przeczytać m.in. w tekstach: U.S. Government Seizes BitTorrent Search Engine Domain and More, U.S. Government Seizes and Shutters Torrent-Finder.com, albo US shuts down counterfeit goods, music sites lub Rząd USA blokuje 70 stron – całemu światu.

Prawdopodobnie wielu badaczy będzie mogło teraz opublikować artykuły, które będą analizować związek - przykładowo - the Digital Millennium Copyright Act, gdzie przewidziano m.in. procedurę notice and takedown, a przepisami, które zastosowano w przypadku domen, o których mowa. Tytuł 18 US Code brzmi "CRIMES AND CRIMINAL PROCEDURE". §981 US Code znajduje się w rozdziale Forfeiture, a sam paragraf zatytułowany jest "Civil forfeiture". §2323 US Code znajduje się w rozdziale 113 - STOLEN PROPERTY, natomiast sam paragraf nosi nazwę Forfeiture, destruction, and restitution. Mamy zatem do czynienia z "zablokowaniem" domen bez ostrzeżenia. Przy okazji, poza notą pojawiającą się po próbie odwiedzenia serwisów dostępnych wcześniej pod wybranymi domenami, nie ujawniono żadnych informacji na temat prowadzonych postępowań.

Nota informacyjna na temat zablokowania domeny

Nota informacyjna na temat zablokowania domeny, na obrazku loga Departamentu Sprawiedliwości, National Intellectual Property Rights (IPR) Coordination Center oraz agenta specjalnego z Homeland Security. Poza logami informacja o karze grożącej za świadome i zawinione naruszanie praw autorskich oraz za dystrybucję (ang. trafficking) podrobionych dóbr...

Jako ciekawostkę warto zauważyć, że o ile domena "torrent-finder.com" została "zablokowana", to nie została "zablokowana" w ten sposób druga domena serwisu Torrent Finder, tj. domena "torrent-finder.info".

Screenshot serwisu torrent-finder.info, który dostępny jest mimo blokowania domeny torrent-finder.com

Screenshot serwisu torrent-finder.info, który dostępny jest mimo blokowania domeny torrent-finder.com

Jeśli da się w ten sposób zablokować dostęp (a raczej - utrudnić dostęp) do niektórych serwisów (sam serwis działa dalej, ale np. pod numerem IP, albo pod innymi domenami, wskazującymi dany serwer), to kwestią czasu pewnie będzie również blokowanie takich niewygodnych serwisów, jak WikiLeaks (por. Przełamane embargo informacyjne WikiLeaks: społeczna inżynieria obiegu informacji).

A, jak wiadomo, świat właśnie żyje wyciekiem dokumentów amerykańskiej dyplomacji. Skoro można tak z torrent-trackerami (chociaż - jak się wydaje - serwisy Google raczej nie zostaną zamknięte, przy podobnym sposobie działania), to dlaczego nie z WikiLeaks?

I tak dalej...

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Problem w architekturze DNS

Problem polega na tym, że DNS jest hierarchiczny, z pojedynczym punktem kontroli (albo, jak wolą niektórzy - awarii)
Nawet jeśli ICANN przejmie międzypaństwowa organizacja, w dalszym ciągu będzie można na nią wpływać (vide WHO i świńska grypa).

Niezależni operatorzy DNS oferujący własne drzewa domen w jakimś stopniu mogliby rozwiązać ten problem, bo wprowadziliby wolny rynek. Doświadczenie uczy jednak, że wolny rynek nie broni się przed państwem.
Poza tym byłyby sporo problemów technicznych, rozbieżności itp.

Jest jeszcze jedno rozwiązanie, jeszcze bardziej kontrowersyjne: sieć zaufania. "Jeśli wszyscy moi znajomi ufają serwerowi root DNS XYZ to i ja mogę". Eksperymenty w tym kierunku już się odbywają np. w projekcie freenetproject.org

W skrócie: wraz ze wzrostem kontroli państw nad informacją wzrasta zapotrzebowanie na "podziemny" Internet.

Ty czegoś nie rozumiesz.

Ty czegoś nie rozumiesz. DNS każdy kraj ma w praktyce swój. Mianowicie w każdym kraju jakaś organizacja zajmuje się jego końcówką.

Oczywiście, nad tymi registrarami znajduje się ICANN. Tyle że w praktyce władza ICANN nad nimi nie jest aż taka oczywista; nie neguję jej, ale ICANN ma swoje zasady i wśród nich jest to, że do bardzo wielu rzeczy się nie wtrąca i pozostawia je temu, komu wydelegował końcówkę. To jest mądra polityka; ostatecznie, to ludność tego kraju tworzy jego Internet. ICANN nie mógłby narzucić ludności jakiegoś kraju, by nie szanowała swojego registrara, wszelkie takie próby byłyby technicznie bardzo łatwe do zniweczenia. ICANN mógłby próbować promować alternatywnych registrarów lub samemu próbować wdrożyć jakiegoś registrara z filtracją itp., ale to jest politycznie pomysł wcale nieoczywisty i z kategorii "na dwoje babka wróżyła"; krótko mówiąc konflikt, a nie automatyczne rozwiązanie.

I okazuje się, że internet ma siedzibę w USA

A więc okazuje się, że internet ma siedzibę w USA. Whois mówi, że rejestrującym był podmiot egipski. W jaki sposób wyrok sądu USA może mieć moc prawną i wykonawczą na terenie innego państwa jest dla mnie nie do pojęcia.
Chyba, że amerykański sąd wyszedł z założenia, że treści dostępne poprzez system teleinformatyczny z terenu USA podlegają jego jurysdykcji. Jeżeli tak, to na tej samej zasadzie powinniśmy wymagać na USA zmianę wpisów dla stron typu redwatch.

Czy teraz Chiny zaczną domagać się zmian w dnsach za strony niezgodne z ich prawem?

Inna sprawa. Jeżeli rejestruję domenę poprzez jakiś polski podmiot (a domenę .com mogę np. zarejestrować przez home.pl), to jaka jest odpowiedzialność home.pl za fakt, że ktoś te wpisy zmienił. Oni zobowiązali się do takiego skonfigurowania serwerów, bym to ja decydował o tym, co się pod nim znajdzie. Czy taki home.pl mógłby zostać zmuszony do zapłaty odszkodowania za niewywiązanie się z umowy?

Na koniec. Takie środki na chwilę zmniejszą wymianę plikami. Każdy system (nawet Windows) posiada bowiem własny plik ze znanymi hostami. Wystarczy tam wpisać nazwę domeny i adres IP i pomijamy cały system DNS. Za niedługo powstaną strony z listą IP serwisów torrentowych.

"wraz ze wzrostem kontroli

"wraz ze wzrostem kontroli państw nad informacją wzrasta zapotrzebowanie na "podziemny" Internet"

Pojawią się spisy adresów IP serwerów wraz z oferowanymi usługami i oparcie się na dynamicznym DNS. Typowe - akcja i reakcja.

Jakich rejestratorów domen dotyczyły wyłączenia?

To jest pytanie, które mi się nasuwa, gdyż wydaje mi się, że blokowane domeny były rejestrowane u dostawców domen zarejestrowanych na terenie Stanów Zjednoczonych. Czy ktoś jest w stanie potwierdzić, że takie blokady dotyczyły na przykład domen rejestrowanych bezpośrednio w Chinach albo Rosji?

podziemny internet

Ale podziemny internet już mamy od dawna ;-) (TOR)

Powinniśmy się cieszyć,

Powinniśmy się cieszyć, że rządowi USA puściły nerwy i dokonali tego bezprzykładnego aktu państwowego piractwa w tak ograniczonym zakresie.

Dzięki temu organizacje wolnościowe mają czas na przygotowanie niezależnych serwerów DNS i odcięcie ich od amerykańskich. Co zapobiegnie podobnym ekscesom w przyszłości.

Tu należy się wyjaśnienie...

steelman's picture

Amerykańskie władze w pełni dowolnie mogą manipulować jedynie wewnątrz swoich TLD (COM, ORG, NET, GOV, MIL itp). Możliwe jest również, choć już pewnie nie aż tak dowolne, odpięcie jakiejś ccTLD (domeny krajowej) od głównego drzewa. Ponieważ jednak nie wszystkie główne serwery (ang. root servers) DNS znajdują się w stanach taka akcja mogłaby nie być skuteczna. Ponadto jeżeli wypinany byłby ktoś inny niż Tuvalu (tv) czy Czarnogóry (me) mogłoby się to jednak odbić jakąś czkawką.

Dodatkowo sprawę gmatwa istnienie DNSSEC, kryptograficznego uwierzytelniania danych DNS i fakt, że o ile wiem to jednak ICANN trzyma do niego klucze.

Nie ma natomiast amerykańska administracja wpływu (nie licząc nieoficjalnych kanałów, tudzież oficjalnych ale nieco pośrednich) na to co dzieje się dzieje wewnątrz dajmy na to domeny PL. Tutaj rządzi NASK.

>steelman<

Założenie własnego

Założenie własnego serwera DNS z dowolnymi domenami, czy wręcz dowolnymi (nawet nie istniejącymi w internecie) hierarchiami jest technicznie możliwe. To nie ulega wątpliwości.

Zastanawia mnie natomiast, co by było, gdyby chcieć oferować usługę dostępu do internetu z alternatywnym DNS. Czy nie skończyłoby się to w końcu posądzeniem usługodawcy o cenzurowanie internetu lub inną niegodziwość?

Sporo zamieszania

Sporo zamieszania w komentarzach, jak to zwykle w kwestii domen.
Pozwole sobie ustosunkowac sie od końca ;)
1) steelman: ICANN nie ma wpływu na to, co sie dzieje wewnątrz domeny .pl (i jakiejkolwiek innej nie kontrolowanej bezposrednio przez niego), ale ma wpływ na "wpięcie" domeny .pl do roota DNS-u, tzn. żeby dostać się do jakiegokolwiek adresu w domenie .pl, resolver rozwijający dla ciebie nazwy domenowe (zwykle jest nim DNS Twojego providera) musi znać adresy serwerów DNS odpowiedzialnych za domenę .pl. A te adresy uzyskuje z serwera ICANN. A więc byłby problem.
Co do DNSSEC, to wciąż jeszcze nie jest wdrożony "produkcyjnie", to cały czas faza testowa, a myślę że ten wyskok rządu USA z zablokowaniem domen przyhamuje trochę chęć do wdrażania DNSSEC, aby nie być tak zależnym od ICANN.
2) incognitus i inni którzy pisali o alternatywnych drzewach DNS: niestety, alternatywne drzewa DNS nie wprowadziłyby "konkurencji" tylko chaos w Internecie. Takie próby już były w latach dziewięćdziesiątych - polecam poczytanie na temat pana Eugene Kashpureffa i tzw. "afery AlterNIC-u", np. u mnie: http://www.ap.krakow.pl/papers/domeny.html. W pewnym momencie w Internecie był cały wysyp alternatywnych drzew DNS i niestety doprowadziło to do tego, czego mozna było sie spodziewać: że ta sama nazwa np. domena.com w zależności od tego z jakich DNS-ów się korzystało prowadziła do zupełnie innych serwerów. Żeby Internet miał sens jako jedna spójna sieć, root DNS-u musi byc jeden.
3) Natomiast oczywiście ten jeden root DNS-u musi być niezależny od wszelkich nacisków i tu nie widzę dobrego pomysłu na to jak to zrobić, dopóki bedzie tym zarządzała jakakolwiek instytucja lub organizacja, bo każda taka instytucja lub organizacja jest gdzieś zarejestrowana i podlega jakiemuś prawu.

Najlepsze byłoby takie rozwiązanie (niestety już nie do powtórzenia), jakie funkcjonowało dopóki żył Jon Postel. Słusznie po jego śmierci stwierdzono że "bez niego Internet już nigdy nie będzie taki sam" i właśnie mamy tego dobitny przykład. Gdyby to nadal Jon Postel opiekował się root DNS-ami, to nie byłoby mowy o tym aby doszło do jakiegokolwiek takiego przypadku. Była taka sytuacja w 1998 roku, kiedy rząd USA usiłował przeforsować swoje koncepcje odnosnie zarządzania domenami. Wtedy Postel po prostu poprosił operatorów wszystkich serwerów root DNS o przestawienie ich tak, aby traktowały jako serwer pierwotny serwer prowadzony przez niego osobiście i z niego pobierały dane. I wszyscy to zrobili, bo słowo Postela było święte - funkcjonowanie całego roota DNS-u opierało sie de facto na jego osobistym autorytecie.
Niestety, Postela już nie ma, i w zarządzanie Internetem wszedł wszelki brud, który pojawia się zawsze, kiedy w miejsce czysto anarchistycznej dżentelmeńskiej umowy między indywidualnymi osobami wchodzą rządy, korporacje, prawa i sformalizowane reguły :(. A Postel zapewne w grobie się przewraca, bo dla niego zawsze podstawowym priorytetem było zapewnienie w Internecie stabilności i czegoś, co po angielsku nazywa się "connectivity" (czasami bywa to tłumaczone na polski jako "łączliwość") czyli tego, żeby było możliwe połączenie z każdego adresu, z każdym adresem i każdą usługą, niezależnie od czyichkolwiek osobistych interesów, sympatii, antypatii i preferencji.

I jest możliwe - wystarczy,

kravietz's picture

I jest możliwe - wystarczy, że będzie się używać adresów IP zamiast nazw DNS :)

Co więcej istnieją systemy usług lub zasobów adresowanych przez swoje hasze (Freenet, Tor), które chronią przed wszystkimi opisanymi wyżej zjawiskami. W chwili obecnej ich niszowość dość dobrze odzwierciedla obecną percepcję zagrożenia ze strony scentralizowanej kontroli nad DNS, co nie znaczy, że nie staną się popularniejsze w przyszłości.

Operatorzy botnetów jakoś dają sobie radę z łącznością pomimo tego, że są przez wszystkich - włącznie z rządami - tępieni. Warto zauważyć przy okazji, że w ich przypadku niejednokrotnie wskazuje się właśnie brak tych praw i reguł jako czynnik utrudniający tępienie botnetów.

--
Paweł Krawczyk
IPSec.pl - Podpis elektroniczny i bezpieczeństwo IT
Echelon.pl - Blog o gospodarce, konkurencyjności i sprawach społecznych

Hosty a ich IP

I jest możliwe - wystarczy, że będzie się używać adresów IP zamiast nazw DNS :)

To niekoniecznie jest takie proste. Jeżeli masz konto resellera, to pod jednym publicznym IP masz wiele virtualnych hostów. Tutaj oprócz IP serwera trzeba wysłać informację, o który vhost nam chodzi.

Dokumentacja Apache'a podaje:

IP-based virtual hosts use the IP address of the connection to determine the correct virtual host to serve. Therefore you need to have a separate IP address for each host. With name-based virtual hosting, the server relies on the client to report the hostname as part of the HTTP headers. Using this technique, many different hosts can share the same IP address.

Nie jestem specjalistą od

Digital Mike's picture

Nie jestem specjalistą od domen, ale właśnie trafiłem na coś takiego: http://torrentfreak.com/bittorrent-based-dns-to-counter-us-domain-seizures-101130/
Rozpoczęły się prace nad niezależnym systemem DNS z domenami .p2p, które do uzyskania do nich dostępu będą wymagać od internautów jedynie instalacji odpowiedniego software'u.

pozdrowienia, Michał

Wykrakałeś z tym WikiLeaks

WikiLeaks.org skasowane, a sam serwis wykopany z Amazon.com. Ale to tylko drobna niedogodność.

Nie wykrakałem, tylko

VaGla's picture

Nie wykrakałem, tylko to "naturalna konsekwencja" aktualnego stanu dyskusji o rozkładzie odpowiedzialności prawnej. Tutaj zresztą to nie "rząd" zablokował, tylko - wedle komunikatów płynących od dostawców usług - był to gest zmierzający do ochrony swojej własnej infrastruktury przed atakami DDoS ("...Everydns, says it did so to prevent its other 500,000 customers of being affected by the intense cyber attacks targeted at WikiLeaks..."). Gdyby jednak było postanowienie sądu, to przecież nic innego nie proponowałem w tekście Nazwiska w domenach w Polityce i co mam zamiar zrobić. A z domenami nie takie rzeczy mogą prawnicy robić, o czym być może niebawem przekonają się również polscy internauci :>
--
[VaGla] Vigilant Android Generated for Logical Assassination

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>