Ľuboš Moščovič o bezpečnosti
Informačná bezpečnosť sa týka každého!

Ako sa pripraviť na cenzúru za čias vlády mrzkej lúzy 2.0 – lekcia 2

/ súkromie, cenzúra, prevzaté, vpn, true story, eff

Skôr než začneme

Jeseň ubehla rýchlejšie než som plánoval, ale to nie je to podstatné, čo som chcel povedať. Dosť som totiž uvažoval, ako poňať pokračovanie môjho predchádzajúceho blogu, a teda ako by mala vyzerať lekcia 2. Nakoniec som sa rozhodol nenosiť drevo do lesa a prichádzam iba s prekladom článku z eff.org - How to: Understand and Circumvent Network Censorship licencovaného pod otvorenou licenciou CC-BY takže to čo teraz budete čítať, nie je moje dielo, iba môj pokus o preklad.


Návod: Ako pochopiť a obísť internetovú cenzúru

Posledná revízia: Február 2024

Toto je prehľad internetovej cenzúry, ktorý však nie je úplný.

Vlády, firmy, školy či poskytovatelia internetu niekedy využívajú softvér, aby svojim používateľom zabránili v prístupe na určité webové stránky a služby, ktoré sú inak dostupné z otvoreného webu. Hovorí sa tomu filtrovanie alebo blokovanie internetu a je to forma cenzúry. To môže mať rôzne podoby. Aj pri použití šifrovania cenzori stále dokážu blokovať celé webové sídla, poskytovateľov hostingu alebo konkrétne internetové technológie. Niekedy sa obsah blokuje tiež na základe kľúčových slov, ktoré obsahuje. Ak stránky nie sú prenášané šifrovane, cenzori môžu blokovať aj jednotlivé webové stránky.

Existujú rôzne spôsoby, ako prekonať internetovú cenzúru. Niektoré vás ochránia aj pred špicľovaním*, mnohé však nie. Takmer vždy, keď niekto, kto ovláda vaše pripojenie k sieti, filtruje alebo blokuje stránky, dokážete použiť nástroj na prekonanie, resp. obídenie filtra či bloku tak, aby ste sa dostali k informáciám, ktoré ste chceli.

! Pozor: nástroje na obchádzanie cenzúry, ktoré sľubujú súkromie alebo bezpečnosť, nie sú často ani bezpečné, ani nechránia vaše súkromie. Taktiež nástroje, ktoré používajú pojmy ako „anonymizér“, nie vždy naozaj taja vašu identitu.

Najvhodnejší nástroj na obchádzanie cenzúry závisí od vášho bezpečnostného plánu. Ak si neviete rady, ako bezpečnostný plán vytvoriť, začnite tu. Pri vytváraní bezpečnostného plánu nezabúdajte, že ten, kto ovláda vaše internetové pripojenie, môže spozorovať, že používate nejaký nástroj alebo techniku na obchádzanie cenzúry a zakročiť.

V tomto návode sa najskôr budeme venovať internetovej cenzúre ako takej, o tom, kto a ako ju môže vykonávať a až následne prejdeme k tomu, čo môžete urobiť, aby ste ju obišli.

Internetová cenzúra a špicľovanie

Na to, aby sa vaša komunikácia cez internet dostala z jedného bodu do druhého, musí spolu správne kooperovať mnoho procesov. Ak sa niekto snaží zablokovať určité časti internetu či nejaké konkrétne aktivity, môže sa o to pokúsiť na rôznych miestach celého systému. Metódy, ktoré na to môže použiť, závisia od toho, aké technológie a zariadenia má pod kontrolou, aké sú jeho znalosti, aké má zdroje a či je v pozícii moci, teda či môže prikazovať ostatným, čo majú robiť.

Cenzúra a špicľovanie: Dve strany tej istej mince

Internetové špicľovanie a cenzúra idú ruka v ruke. Cenzúra je totiž dvojstupňový proces:

  1. Zistiť „neželanú“ aktivitu
  2. Zablokovať „neželanú“ aktivitu

Zisťovanie „neželaných“ aktivít je jednoznačne úlohou internetového špicľovania. Ak správcovia siete vidia, kam na internete chodíte, môžu sa rozhodnúť, či to budú blokovať. Obhajobou nástrojov a technológií na ochranu súkromia na internete môžeme filtrovanie a blokovanie internetu sťažiť.

Mnohé techniky obchádzania internetovej cenzúry majú ešte jednu výhodu navyše, a to že aj chránia informácie pred odpočúvaním.

Cena špicľovania

Blokovanie internetovej prevádzky nesie so sebou aj náklady a rozsiahle blokovanie môže mať ešte výraznejšie náklady. Skvelým príkladom je, že čínska vláda necenzuruje webovú stránku služby GitHub, hoci sa na nej nachádzajú mnohé protivládne bulletiny. Softwaroví vývojári totiž potrebujú prístup na GitHub, aby mohli vykonávať svoju prácu, ktorá je prospešná pre čínske národné hospodárstvo. Na teraz sa teda čínski cenzori rozhodli, že blokovanie GitHubu by ich stálo viac, ako by jeho zablokovaním získali.

Nie všetci cenzori by sa však rozhodli rovnako. Príkladom sú čoraz bežnejšie dočasné úplné odpojenia od internetu, napriek tomu že takéto opatrenia môžu vážne poškodiť miestnu ekonomiku.

Kde a ako dochádza k cenzúre a špicľovaniu

Kde dochádza k blokovaniu?

Váš počítač sa pokúša pripojiť na stránku https://eff.org/, ktorá sa nachádza na uvedenej IP adrese (to sú tie čísla oddelené bodkami, ktoré reprezentujú pre počítače lepšie zrozumiteľnú adresu servera hostujúceho webové stránky EFF). Odoslaná požiadavka na túto webovú lokalitu musí prejsť cez rôzne zariadenia, akými sú váš domáci router, rôzne sieťové prvky vášho (a nielen vášho) poskytovateľa internetových služieb (ISP), až kým sa dostane na zamýšľanú IP adresu http://eff.org/. Webová stránka sa úspešne načíta do vášho počítača.

(1) Blokovanie, resp. filtrovanie na vašich zariadeniach. Toto je bežné najmä v školách či na pracovisku. Ten, kto spravuje váš počítač alebo telefón, môže do nich aj nainštalovať softvér, ktorý obmedzuje ich používanie. Softvér zmení fungovanie zariadenia a tým môže znemožniť prístup na určité stránky alebo online komunikáciu určitým spôsobom. Spyware funguje veľmi podobne.


(2) Filtrovanie v rámci lokálnej siete (LAN). Toto je bežné aj v školách aj na pracovisku. Ten, kto spravuje vašu lokálnu sieť (napríklad WiFi), si na nej môže vynútiť určité obmedzenia vašej internetovej aktivity, napríklad monitorovať alebo obmedzovať to, kam chodíte online alebo upozorňovať, či obmedzovať pri vyhľadávaní určitých kľúčových slov.

(3) Blokovanie alebo filtrovanie zo strany poskytovateľov internetových služieb (ISP). Poskytovateľ internetových služieb môže vo všeobecnosti vykonávať rovnaký typ filtrovania ako správca vašej lokálnej siete. Poskytovatelia internetových služieb v mnohých krajinách sú svojimi vládami nútení vykonávať určité filtrovanie a cenzúru internetu. Komerční poskytovatelia internetových služieb môžu vykonávať filtrovanie ako službu pre domácnosti alebo zamestnávateľov. Určití poskytovatelia internetových služieb pre domácnosti môžu ponúkať filtrované pripojenie, ako možnosť pre zákazníkov a automaticky uplatňovať špecifické metódy cenzúry, ako sú tie, ktoré sú opísané nižšie. Môžu to robiť aj vtedy, ak to vláda nevyžaduje, ale si to želajú niektorí ich zákazníci.

Ako dochádza k blokovaniu?

Blokovanie IP adries: „IP adresy“ sú adresy počítačov na internete. Každá informácia, ktorá sa posiela cez internet, má adresu „To“ (odkiaľ) a adresu „From“ (kam). Poskytovatelia internetových služieb alebo správcovia sietí môžu vytvoriť zoznamy adries, ktoré zodpovedajú službám, ktoré chcú blokovať. Potom môžu zablokovať všetky informácie v sieti, ktoré sú prenášané na tieto adresy alebo z nich.

To môže viesť k nadmernému blokovaniu, pretože na tom istom mieste, resp. na tej istej IP adrese môže byť umiestnených mnoho služieb. Rovnako sa stáva, že viacero ľudí zdieľa jednu IP adresu pre prístup na internet.


V tejto schéme poskytovateľ internetových služieb porovnáva požadovanú IP adresu so zoznamom blokovaných IP adries. Zistí, že IP adresa pre eff.org sa zhoduje s blokovanou IP adresou, a zablokuje požiadavku na webovú lokalitu.

Blokovanie DNS: Na to, kde sa stránky nachádzajú sa vaše zariadenie pýta počítačov nazývaných „DNS resolvery“. Keď sa pripájate na internet, predvolený DNS resolver, ktorý vaše zariadenie používa, zvyčajne patrí vášmu poskytovateľovi internetových služieb. Poskytovateľ internetových služieb môže naprogramovať svoj DNS resolver tak, aby poskytol nesprávnu odpoveď alebo žiadnu odpoveď vždy, keď sa používateľ pokúsi vyhľadať umiestnenie blokovanej lokality alebo služby. Ak aj zmeníte svoj DNS resolver, ale vaše pripojenie na DNS nie je šifrované, poskytovateľ internetových služieb môže stále selektívne blokovať alebo meniť odpovede pre blokované služby.

Na tomto obrázku je požiadavka na IP adresu eff.org upravená na úrovni poskytovateľa internetových služieb. Poskytovateľ internetových služieb zasahuje do DNS resolvera a IP adresa je presmerovaná tak, aby poskytla nesprávnu, resp. žiadnu odpoveď.

Filtrovanie kľúčových slov: Ak je prenos dát nešifrovaný, poskytovatelia internetových služieb môžu blokovať webové stránky na základe ich obsahu. So všeobecným nárastom počtu šifrovaných stránok sa tento typ filtrovania stáva menej populárnym.

Jednou z nástrah je, že správcovia môžu dešifrovať zašifrovanú aktivitu, za predpokladu, že si používatelia nainštalujú dôveryhodný certifikát „CA“, poskytnutý týmito správcami ich zariadenia. Keďže certifikát sa musí nainštalovať priamo do zariadenia, je táto prax bežnejšia pre lokálne siete na pracoviskách, či školách, ale menej častá v pripojeniach poskytovateľov internetových služieb.

Pri nešifrovanom pripojení k webovej lokalite môže poskytovateľ internetových služieb skontrolovať, či obsah lokality nezodpovedá jeho blokovaným typom obsahu. V tomto príklade vedie zmienka o slobode prejavu k automatickému zablokovaniu webovej stránky.

Filtrovanie stránok HTTPS: Pri prístupe na stránky cez protokol HTTPS je celý obsah okrem názvu stránky zašifrovaný. Keďže poskytovatelia internetových služieb alebo správcovia lokálnych sietí stále vidia názov stránky, môžu sa teda rozhodnúť, či k daným stránkam prístup zablokujú.

Na tomto obrázku sa počítač pokúša získať prístup k eff.org/deeplinks. Správca siete (reprezentovaný smerovačom) vidí doménu (eff.org), ale nie celú adresu webovej stránky za lomítkom. Správca siete môže rozhodnúť, ku ktorým doménam zablokuje prístup.

Blokovanie protokolov a portov: Firewall alebo smerovač sa môže pokúsiť identifikovať, aký druh internetovej technológie sa používa na komunikáciu, a na základe rozpoznania technických detailov spôsobu komunikácie potom blokovať určité technológie (protokoly a čísla portov sú príkladmi informácií, ktoré možno použiť na identifikáciu používanej technológie). Ak firewall dokáže správne rozpoznať, o aký druh komunikácie ide alebo aká technológia sa používa, môže byť nakonfigurovaný tak, aby túto komunikáciu neprepúšťal ďalej. Niektoré siete môžu napríklad blokovať technológie používané vybranými aplikáciami VoIP (telefonovanie cez internet), softvérom na zdieľanie súborov typu peer-to-peer alebo aplikácie VPN.

Na tomto obrázku smerovač rozpozná počítač, ktorý sa pokúša pripojiť na stránku HTTPS, ktorá používa port 443. Port 443 je na zozname blokovaných protokolov tohto smerovača.

Ďalšie typy blokovania

Blokovanie a filtrovanie sa zvyčajne používa na zabránenie prístupu k určitým stránkam alebo službám. Čoraz častejšie sa však používajú aj iné typy blokovania.

Vypnutie siete: Vypnutie siete môže zahŕňať fyzické odpojenie sieťovej infraštruktúry, ako sú smerovače, sieťové káble, či vysielače mobilných operátorov, takže sa fyzicky zabráni pripojeniu alebo je také zlé, že sa nedá použiť.

Sem spadá aj špeciálny prípad blokovania IP adries, pri ktorom sú zablokované všetky alebo väčšina IP adries. Keďže väčšinou je možné zistiť, v ktorej krajine sa IP adresa používa, niektoré krajiny experimentovali s dočasným blokovaním všetkých alebo väčšiny zahraničných IP adries, pričom povolili niektoré spojenia v rámci krajiny, ale zablokovali väčšinu spojení smerujúcich mimo krajiny.

Počítač sa pokúsi pripojiť na IP adresu eff.org v USA. Na úrovni poskytovateľa internetových služieb sa požiadavka skontroluje: IP adresa eff.org sa porovná so zoznamom blokovaných medzinárodných IP adries a je zablokovaná.

Priškrtenie: Poskytovatelia internetových služieb môžu selektívne obmedzovať (spomaľovať) rôzne typy prenosov. Mnohé vládne cenzorské úrady skôr spomaľujú pripojenie k určitým stránkam, než aby ich úplne blokovali. Takýto typ blokovania je ťažšie rozoznať a umožňuje poskytovateľovi internetových služieb poprieť, že obmedzuje prístup. Ľudia si môžu myslieť, že ich vlastné internetové pripojenie je pomalé alebo, že služba, ku ktorej sa pripájajú, nefunguje.

Počítač sa pokúša pripojiť k eff.org. Ich poskytovateľ internetových služieb im spomalí pripojenie.

Techniky obchádzania

Faktory, ako je vaša poloha a typ sieťovej cenzúry, s ktorou sa stretávate, pomáhajú určiť, ktorá technika obchádzania bude pre vás najlepšia. Ak si nie ste istí, akým druhom blokovania čelíte, nástroj, ako je napríklad OONI Probe, vám to pomôže určiť. Upozorňujeme však, že už aj spustenie tohto nástroja vás môže ohroziť, pretože správca vašej siete bude vedieť, že používate tento softvér, niektoré krajiny môžu tento nástroj dokonca aj blokovať.

Čím menej dostupných informácií o vašej internetovej aktivite existuje, tým ťažšie bude pre poskytovateľa internetových služieb alebo správcu siete selektívne blokovať konkrétne typy aktivít. Preto občas môže pomôcť aj používanie známych šifrovacích štandardov, ako je HTTPS a šifrované DNS.

Protokol HTTP prakticky vôbec nechráni informácie o vašom prehliadaní…

…HTTPS už ochráni aspoň niečo…

…šifrované DNS ochráni aj názov lokality.

Zmeňte poskytovateľa DNS a používajte šifrované DNS

Ak sa poskytovatelia internetových služieb spoliehajú len na blokovanie DNS, zmena poskytovateľa DNS a používanie šifrovaného DNS môže obnoviť váš prístup.

Zmena poskytovateľa DNS: Môžete ju vykonať v „sieťových nastaveniach“ svojho zariadenia (telefónu alebo počítača). Nezabúdajte, že teraz tento nový poskytovateľ DNS získa informácie o vašej aktivite pri prehliadaní, a to môže byť, v závislosti od vášho threat modelu, problém pri ochrane súkromia. Mozilla zostavuje zoznam poskytovateľov DNS, ktorí majú prísne zásady ochrany osobných údajov a zaväzujú sa nezdieľať vaše údaje o prehliadaní.

Používajte šifrované DNS: Šifrované technológie DNS bránia tomu, aby ktokoľvek na sieti videl (a filtroval) vašu DNS prevádzku. Podľa správy z roku 2022 však niektoré vlády už zablokovali známe koncové body pre DNS cez HTTPS a DNS cez TLS. Ak používate niektorú z populárnych šifrovaných DNS služieb, ako napríklad 1.1.1.1, 8.8.8.8, alebo 9.9.9.9 nezabúdajte, že vládne úrady môžu tieto koncové body začať poľahky blokovať.

Používanie DNS-over-HTTPS môžete nastaviť v prehliadači Firefox. Chrome aj Microsoft Edge službu DNS-over-HTTPS podporujú tiež, ale nájdete ju ako „Secure DNS“. DNS cez TLS môžete nastaviť aj na Androide. Systémy iOS aj macOS tiež podporujú DNS-over-HTTPS, ibaže vyžadujú inštaláciu profilov tretích strán a nie sú prednastavené.

Používajte VPN

Na tomto obrázku počítač používa VPN, ktorá šifruje jeho prevádzku a pripája sa k stránke eff.org. Sieťový smerovač a poskytovateľ internetových služieb môžu vidieť, že počítač používa VPN, ale prenášané dáta sú šifrované. Poskytovateľ internetových služieb smeruje všetko pripojenie na VPN server v inej krajine. Tento VPN server sa potom pripojí k webovej lokalite eff.org.

Ak čelíte blokovaniu prístupu k obsahu na základe IP geolokácie, práve VPN môže pomôcť pri obchádzaní týchto praktík. Má to však aj svoje úskalia a v určitých prípadoch to nemusí fungovať vôbec.

Virtuálna privátna sieť (VPN) šifruje a prenáša dáta z vášho počítača cez server (iný počítač), ktorý môže (nie nutne) byť v inej krajine. V niektorých prípadoch vám to môže pomôcť získať prístup k webovým stránkam, ktoré nie sú dostupné v krajine, v ktorej sa práve nachádzate. Tento server môže patriť komerčnej alebo neziskovej službe poskytujúcej VPN, vašej spoločnosti alebo nikomu komu dôverujete. Po správnom nakonfigurovaní VPN ju môžete používať na prístup k webovým stránkam, e-mailom, rýchlym správam (instant messaging), VoIP, či akýmkoľvek iným internetovým službám. VPN ochráni vašu internetovú prevádzku pred lokálnym špehovaním, ale samotný poskytovateľ VPN aj tak môže uchovávať záznamy (známe aj ako logy) o webových stránkach na ktoré pristupujete, alebo dokonca umožniť tretej strane priamo nahliadnuť do vášho prehliadania webových stránok. V prípade, že ste pre vládu záujmová osoba, možnosť odpočúvania vášho VPN pripojenia alebo získania prístupu k vašim VPN logom, môže byť významným rizikom. Pre niektorých používateľov by to mohlo prevážiť krátkodobé výhody používania VPN.

Pozrite si nášho pomocníka pri výbere konkrétnej VPN služby.

Používanie prehliadača Tor

Ak narazíte na blokovanie protokolov alebo portov, blokovanie IP adries, blokovanie DNS alebo ak vám ani VPN nepomáha obísť cenzúru, ešte vám môže pomôcť prehliadač Tor. Tor má niekoľko možností, ako obísť rôzne typy cenzúry, ale upozorňujeme, že každý kto vidí vašu sieťovú aktivitu bude vedieť, že používate Tor.

Tor je open-source softvér (teda s otvoreným zdrojovým kódom) navrhnutý tak, aby vám zabezpečil anonymitu na webe. Tor Browser je webový prehliadač postavený nad anonymizačnou sieťou Tor. Vďaka tomu, ako Tor smeruje vašu prevádzku pri prehliadaní webu, umožňuje aj obchádzanie cenzúry.

Počítač používa Tor na pripojenie k eff.org. Tor smeruje pripojenie cez niekoľko „relé“, ktoré môžu prevádzkovať rôzni jednotlivci alebo organizácie po celom svete. Posledné „výstupné relé“ sa pripája k eff.org. Poskytovateľ internetových služieb vidí, že používate Tor, ale nemôže jednoducho zistiť, akú stránku navštevujete. Podobne aj vlastník eff.org môže zistiť, že sa niekto, kto používa Tor, pripojil na jeho stránku, ale nevie, odkiaľ tento používateľ prichádza.

Pri prvom spustení prehliadača Tor kliknite na tlačidlo „Konfigurovať pripojenie…“ a prispôsobte si nastavenia pripojenia manuálne, alebo jednoducho kliknite na tlačidlo „Pripojiť“ a môžete hneď začať.

Tor nielenže obíde niektoré národné cenzúry, ale pri správnej konfigurácii môže tiež ochrániť vašu identitu pred protivníkom, ktorý odpočúva siete vo vašej krajine. Môže však byť pomalý a náročný na používanie a každý, kto vidí vašu sieťovú aktivitu, si môže všimnúť, že používate Tor.

Ak je pre vás Tor z akéhokoľvek dôvodu zablokovaný, funkcia „Connection Assist“ vám môže pomôcť vybrať „bridge“ (akési premostenie) na základe vašej polohy.

Prečítajte si, ako používať Tor na Linuxe, macOS, Windows a na smartfónoch.

! Poznámka: Uistite sa, že prehliadač Tor sťahujete z oficiálnej webovej stránky.

Používanie proxy servera pre aplikácie na zasielanie správ

Ak vo svojom regióne nemáte prístup k zabezpečeným aplikáciám na zasielanie správ, ako je WhatsApp alebo Signal, môžete na obídenie niektorých typov cenzúry použiť proxy server. Vďaka tomu budete môcť komunikovať s ostatnými, aj keď je vaša aplikácia zablokovaná. Tieto proxy servery prevádzkujú dobrovoľníci, ale vaša komunikácia zostane end to end zašifrovaná, čím je zabezpečené, že nikto vrátane tých, ktorí prevádzkujú proxy server, nebude môcť vidieť obsah správy. Poskytovateľ proxy servera však bude poznať vašu IP adresu.

Prečítajte si, ako využívať proxy servere v aplikáciách Signal aj WhatsApp.

* Surveillance – toto slovo sa do slovenčiny zväčša prekladá ako „dohľad“, občas tiež ako „sledovanie“. Ani jedno z týchto slov však nemá dostatočne negatívnu konotáciu, ktorú si v kontexte tohto článku zaslúži, preto som siahol po možno trochu netradičnom, či dokonca archaickom, výraze špicľovanie.

Previous Post