Vyšlo na Lupě, 21.11.2011
Vytištěno z adresy: http://www.earchiv.cz/b11/b1121001.php3

Čeká nás cinknuté DNS?

Nové zákony, připravované v USA, chtějí vymáhat ochranu práv duševního vlastnictví opravdu za každou cenu. I za cenu nabourání funkcí systému DNS a jeho zabezpečení.

Nebývá zvykem, aby poslanci europarlamentu vzkazovali svým zámořským kolegům, že se jim něco hodně nelíbí na zákonech, připravovaných v USA. Stejně tak nebývá moc časté, aby si velké americké firmy kupovaly celostránkové inzeráty v prestižních denících, a v nich varovaly před chystanými zákony ve vlastní zemi. Ale obojí se v nedávných dnech stalo. Proč? 

Je to reakce na dva nové a vzájemně velmi podobné zákony, které právě teď prochází Senátem a Kongresem USA, a mají prý nemalou šanci na úspěšné schválení. Prvním je senátní zákon, přezdívaný PROTECT IP (Preventing Real Online Threats to Economic Creativity and Theft of Intellectual Property Act of 2011). Druhým pak zákon SOPA (Stop Online Piracy Act), předložený v Kongresu.

Na první pohled by se možná mohlo zdát, že oba návrhy jsou jen další epizodu v rámci dlouhodobého boje „Velkého Obsahu“ - tedy: velkých držitelů práv charakteru duševního vlastnictví – proti všem a všemu, co ohrožuje jejich dřívější pozice, výnosy a zisky. A to i za cenu stále větších represí. Ať to stojí, co to stojí.

Jenže tentokráte se zdá, že ona „cena“ už je opravdu přehnaná, když vzbudila tak silně odmítavé reakce. A to i mezi těmi subjekty z USA, které až dosud vycházely vstříc velkým držitelům práv, respektovaly jejich zájmy a naplňovaly i poměrně přísná opatření, zavedená například v rámci tamního zákona DMCA (Digital Millenium Copyright Act) – a na vyzvání znepřístupňují takový obsah, který prokazatelně porušuje něčí práva duševního vlastnictví.

Zkroťme zahraniční servery

Nyní je ale ve hře něco jiného: tentokráte „Velký Obsah“ zacílil primárně na zahraniční zdroje, které mají porušovat „americká práva“ a „krást americký majetek“.

Použita sice mají být relativně „klasická“ opatření - od technických (formou blokování) přes právní (různé žaloby) až po ekonomické, jako  zákazy peněžních převodů a zákazy poskytování reklam reklamními systémy.  Jenže provedení těchto opatření už má být dosti „netradiční“ a jdoucí za dosud nepřekročené hranice.

Soudy v USA by například měly rozhodovat o způsobu fungování systému DNS a nařizovat providerům, aby jimi provozované neautoritativní (cachující) DNS servery nepřekládaly konkrétní symbolická doménová tak, jak by správně měly, ale místo toho „podstrkovaly“ v odpovědích jiné IP adresy. Ty by pak tazatele zavedly na místo, kde by se dozvěděli něco o důvodech znepřístupnění zahraničních serverů, které porušují „americká práva“ a „kradou americký majetek“.

Vedle toho by ale internetoví provideři měli obecnou povinnost „zajistit nedostupnost“ konkrétních serverů, určeným soudem. A podobná povinnost by se týkala i provozovatelů vyhledávacích služeb: ti by měli povinnost postarat se, aby se odkazy na příslušné servery, určené rozhodnutím soudu, neobjevovaly v jimi poskytovaných výsledcích hledání.

Zajímavý je také očividný přesah do zahraničních jurisdikcí: státní zástupci v USA by se podle nově navrhovaných zákonů mohli domáhat zrušení registrací doménových jmen i u zahraničních registrátorů. Jako kdyby snad úplně všechno, co se kdekoli na světě točí kolem Internetu, spadalo do jurisdikce USA.

Jenže to zdaleka není všechno: zatímco pro blokování by bylo zapotřebí rozhodnutí soudu, k zákazu převodu peněžních prostředků či zákazu poskytování reklamy ze strany reklamních systémů by žádný příkaz soudu či aktivita státního zástupce nebyly nutné – zde by stačilo jen „důvodné podezření“ ze strany některého držitele práv.

Stejně tak by různí poskytovatelé a provideři měli generální pardon (nenesli by žádnou právní odpovědnost) v případě, že by někoho či něco „odstřihli“ sami a proaktivně, jen na základě své „důvodné domněnky“ z porušování práv duševního vlastnictví. Což by se jistě dalo šikovně využít v konkurenčním boji, či v boji proti sítové neutralitě a různým „nepohodlným“ službám.

Proti čemu protestuje Google, Facebook, Twitter, Yahoo a další? 

Neméně pikantní je i zákaz obcházení: zde by poskytovatelé a provideři odpovídali za to, že jejich produkty a služby nebudou využity k obcházení uložených opatření. Například by museli zajistit, aby se nějaký server nepřestěhoval (nestal se dostupným) na jiné IP adrese či přes jiné symbolické doménové jméno.

Již jen tento „drobný“ požadavek, na zamezení obcházení, má sám o sobě dalekosáhlé důsledky: skrze dosavadní zákony mají poskytovatelé v USA (stejně jako v EU) pouze „reaktivní“ povinnost, když musí reagovat na určitá upozornění a nařízení ohledně porušování autorských práv. A pokud tak činí, nenesou odpovědnost za činy svých zákazníků (využívají tzv. „safe harbor“).

Toto opatření by ale povinnosti „reaktivního“ charakteru fakticky měnilo na „proaktivní“ a nabourávalo instituty „safe harbour“, které i pod dosavadními přísnými zákony (jako je DMCA) zbavují poskytovatele odpovědnosti za činy jejich zákazníků.

To je ostatně i jeden z hlavních argumentů společného otevřeného dopisu zákonodárcům, pod který v nedávných dnech podepsaly firmy AOL, eBay, Facebook, Google, LinkedIn,  Mozilla, Twitter, Yahoo!, a Zynga, a formou celostránkových inzerátů ho otiskly v předních denících v USA. Ocitujme si z něj hlavní vzkaz:

Podporujeme deklarované cíle navrhovaného zákona – poskytnout další nástroje pro boj se „škodícími“ zahraničními weby, které porušují copyright či podporují padělatelství. Návrh jsou ale bohužel napsány tak, že i ty internetové a technologické firmy v USA, které řádně dodržují zákony, vystaví novým a neurčitým formám odpovědnosti, riziku nových žalobních nároků, a uloží jim i nové technologické povinnosti, vyžadující monitorovat celé weby.

Součástí reakce internetových a technologických firem bylo i vyhlášení 16. listopadu, kdy byl návrh zákona SOPA poprvé projednáván v Kongresu, „Dnem americké cenzury“ (American Censorship Day). Ten firmy podpořily i symbolickým překrytím vlastního loga na svých stránkách.

Proti návrhu zákona SOPA pochopitelně protestovala také řada organizací, zabývajících se svobodou a otevřeností Internetu. Stalo se tak formou (dalšího) společného dopisu, adresovaného autorům zákona SOPA.

V neposlední řadě proti zákonu (nepřímo) protestovali i poslanci evropského parlamentu. Před společným summitem EU-USA, který se má  konat 28. listopadu, totiž vydali svá stanoviska (formou  rezoluce) k celé řadě aspektů. Předposledním bodem pak je následující text, který sice explicitně nezmiňuje zákon SOPA, ale věcně se vztahuje k jeho asi nejkontroverznější části:

Evropský parlament  ….
…  zdůrazňuje, že je třeba ochránit integritu internetu na celém světě a současně i svobodu komunikace, avšak nepoužívat přitom jednostranná opatření spočívající v rušení adres IP nebo názvů domén;

Blokování

Asi nejkontroverznější částí návrhu zákona SOPA je ta jeho pasáž, která zavádí blokování: je sice vázána na rozhodnutí  soudu, ale pokud k němu dojde, přikazuje internetovým providerům učinit taková opatření, aby příslušné „místo“ (Internet site) nebylo dostupné pro uživatele v USA.

Není zde řečeno, jak by se této nedostupnosti mělo dosáhnout. Těžko ale lze očekávat, že by to nezahrnovalo blokování na úrovni síťové vrstvy, podle IP adres – protože jinak by uživateli stačilo zadat příslušnou IP adresu a požadovaný zákaz přístupu by nebyl naplněn. I přesto je ale v návrhu zákona explicitní požadavek na to, aby opatření  na zabránění dostupnosti zahrnovala také systém DNS:

… včetně opatření určených k zabránění tomu, aby se doménové jméno zahraničního místa (či jeho části) přeložilo na IP adresu.

Jak by se ale toto realizovalo?

Uvědomme si, že zde jde o „zahraniční místa“ (servery) i v tom smyslu, že jejich doménová jména jsou sestavena z domén, registrovaných u zahraničních správců, kteří nespadají pod jurisdikci USA. A těm tedy USA nemohou nařídit změnu přímo v rámci DNS a jeho záznamů, tak aby doménové jméno řádně „vedlo jinam“.

Pravdou je, že u domén druhé úrovně, registrovaných u správců v jurisdikci USA, takováto možnost již existuje a funguje, včetně přesměrování na jinou IP adresu, kde je umístěna hláška o důvodech „přesměrování“. A skutečně se využívá, viz obrázek.

Po technické stránce je takovéto přesměrování v pořádku, protože je provedené změnou příslušných záznamů u správce nadřazené domény a nenarušuje fungování DNS. Jenže jak to udělat tady, u zahraničních serverů využívajících doménová jména vedená správci, kteří nejsou v jurisdikci USA? Tedy na které USA „nedosáhnou“, byť se podle jiného výše zmiňovaného opatření chtějí tvářit, jako kdyby na ně dosáhli kamkoli?

I z dalších pasáží návrhu zákona SOPA vyplývá, že je požadována změna ve fungování cachujících (a tedy neautoritativních) DNS serverů. Tedy těch, které dostávají příslušné převodní informace od autoritativních serverů, nějakou dobu si je pamatují, a pokud jsou na ně dotazovány, poskytují je tazatelům místo autoritativních serverů, formou neautoritativních odpovědí.

Nyní by ale zákon SOPA, skrze svůj požadavek na „zabránění překladu“, požadoval zásah do fungování cachujících DNS serverů: provider by na základě rozhodnutí soudu musel pozměnit fungování svých cachujících DNS serverů – tak, aby nefungovaly tak, jak by měly, a nepřekládaly konkrétní doménová jména na odpovídající IP adresy.

Fakticky by se jednalo o přesměrování na nějakou jinou IP adresu, stejně jako u „zabavených“ (domácích) domén, viz obrázek výše – protože návrh zákona specifikuje, že soud dodá i text, který se bude uživatelům po takovémto přesměrování zobrazovat.

Zásah do fungování Internetu

Blokování konkrétních zahraničních „míst“ (serverů) je pochopitelně trnem v oku mnoha uživatelů v USA, kteří začínají hovořit o „velkém americkém firewallu“, a svou zemi začínají řadit po bok takových zemí, jako je Čína, Irán či Sýrie. Viz též tato názorná infografika.

Problematický je i popisovaný požadavek na změnu ve fungování cachujících name serverů. Ta má vlastně charakter záměrně navozené chyby, kdy má být místo správné odpovědi na položený dotaz poskytována nesprávná odpověď.

To je ale něco, co jde zcela proti snahám provozovat DNS jako kritickou infrastrukturu a spoléhat se na ni. Je to záměrné narušení  tohoto systému, které navíc nejde „poznat“ a odlišit od technické chyby, zneužití či kompromitace: DNS protokol nepamatuje na možnost nějakého sdělení typu „tato odpověď byla pozměněna v důsledku soudního rozhodnutí  XY“. 

V dnešní době, kdy se uživatelé Internetu mají co obávat nejrůznějších „kyberútoků“, které mohou být vedeny i přes DNS, by se takto vynucované změny daly chápat jako něco, co jde proti všem zásadám bezpečnosti na Internetu. A také proti protokolu DNSSEC, který systém DNS zabezpečuje právě proti takovýmto útokům. A ani DNSSEC nezná nic jako „soudem nařízené přesměrování“, aby jej dokázal odlišit od „skutečných“ útoků.

Pokud vás tato problematika zajímá podrobněji, doporučuji k přečtení tuto analýzu od skupiny odborníků na Internet, která podrobněji rozebírá dopady požadovaných změn na fungování systému DNS. A pro srovnání ještě opačně vyznívající analýzu, kterou si naopak velmi pochvaluje americká MPAA,  a která staví na argumentu, že zabezpečený přístup k „podvodným“ místům je stejně bezpředmětný, protože tato místa už budou tak jako tak nedostupná všemi možnými způsoby.

Jenže: proč potom nabourávat DNS a zakazovat konkrétní překlady, když by se nikdo stejně nemohl žádným způsobem dostat k místu, které se ocitlo na seznamu těch zakázaných? Možná je to požadováno jen tak, „pro jistotu“, ať to stojí, co to stojí. Vždyť přeci: stát to bude někoho jiného, než toho, kdo si celý popisovaný návrh zákona proloboval.