Težave pri IP blokadi piratskih spletnih strani

Priljubljeni torrent tracker, glasbeni promotor in nekdanji šaljivec The Pirate Bay je blokiran v številnih evropskih državah, še posebej dosledno pa v Veliki Britaniji. Skoraj vsi večji ponudniki interneta so na podlagi dobljene tožbe britanske RIAA (BPI) primorani onemogočiti dostop tako do domene kot do pripadajočih IP naslovov. A tovrstne blokade nikakor niso brez svojih problemov. Za začetek je zgolj najava skorajšnje blokade na BBC in drugih večjih medijskih postajah povzročila izjemen naval obiska (12 milijonov Britancev samo tisti dan), mnogo od njih takih, ki strani dotlej sploh niso ne poznali in ne uporabljali. Dalje, izgogibanje blokadi je sorazmerno enostavno. Tretji, še bolj zoprni problem pa je, da se z blokado specifičnega IP naslova lahko blokira še druge, nič krive spletne strani. Kot namreč vemo, IPv4 naslovov že nekaj časa primanjkuje, zato pogosto vidimo več ali celo več deset različnih spletnih strani na enem in istem IP naslovu (Virtual oz. Shared Hosting, ki ga dobimo v tipičnem poceni paketu gostovanja). To pa ustvarja pogoje za znatno koleteralno škodo, nekako tako kot bi zaprtje vhoda v blok zaradi enega tečnega stanovalca prizadelo še vse ostale, oziroma kot zapore cest zaradi lovljenje enega kriminalca povzročijo še in še zamud in zapletov za stotine drugih ljudi.

V pričakovanju tovrstnih zapletov je britanski regulator trga komunikacij, Ofcom, naročil študijo souporabe IP naslovov. Rezultati pravijo svojo zgodbo: kar 97% domen pod vrhnjimi domenami .com, .net in .org deli svoj IP naslov s vsaj še eno spletno stranjo (pa ne govorimo o www in brez-www različicama). Povedano drugače, na enem IP naslovu gostuje povprečno 19 različnih domen, oziroma 13, če se omejimo samo britanske (.uk) domene. Tudi, če so izključili IP naslove z več kot tisoč domenami (tipično za parkiranje domen), je ta številka še vedno 7.5 globalno oziroma 8.6 v Veliki Britaniji. Študija je zajela 0.3 milijona različnih IP naslovov, na katerih so skupaj našteli 5.9 milijona spletnih strani.

To je lahko problem, lahko ni. Večina večjih "piratskih" spletnih strani - se pravi take, ki bi res zanimale protipiratsko koalicijo, uporabljajo namenski IP naslov (ali celo več njih), tako da nedolžnih žrtev ni (seveda, če privzamemo, da je poseg v komunikacijsko zasebnost v civilnem postopku sploh ustaven). To predvsem zato, ker gostovanje na velikih CDN-jih (content delivery networks) ne pride v poštev, zaradi kršitev pogojev uporabe. A ni vedno tako. The pirate bay je sploh priljubljen pri piratskih strankah, ki zato ponujajo zrcalne naslove (mirror, npr. tpb.pirateparty.co.uk), tako da bi blokada teh lahko zakrila še njihovo domačo spletno stran, da sploh ne govorimo o vprašanjih glede oviranja svobode izražanja mnenj in vesti za pristno politično stranko. Še več, blokade ne zanimajo samo protipiratskega lobija. Pri nas je bilo veliko joka glede blokade nekaterih spletnih stavnic kar v upravnem postopku, ni pa tudi izključeno, da bi šel kakšni javni osebi na živce blog s slabimi zapisi o njemu (ali pa googlable kopija arhiva Delovega časopisa, s katero se na internet povrne kak negativni članek). Namreč, če dovolimo blokado zavoljo zaščite avtorskih pravic, zakaj ne tudi za druge vire civilne škode?

Internetni ponudniki sicer mutijo, da lahko blokirajo zgolj promet, ki je resnično namenjen na določeno domeno. To ni ne dobra ideja, pa tudi povsem res ni. Mogoče je zgolj za nešifrirane HTTP zahtevke (tukaj je na voljo poljuden opis dogajanja po vpisu URL naslova v spletni brskalnik, glej tudi sliko), vendar zgolj s spremljanjem vsebine prometa oz. ti. deep packet inspectionom, kar pomeni, da operater zavoljo zaščite interesov ene stranke aktivno vohlja po vašem prometu. V zakonodaji EU izrecno piše, da jim tega ni treba početi, v posameznih državah članicah z uzakonjeno nevtralnostjo interneta ali normalno ustavo pa tega tudi ne smejo. Stvari se še bolj zapletejo, če uporabnik dostopa preko protokola HTTPS, posebej v navezi z DNSSEC ali ne-operaterjevim DNS strežnikom. V tem primeru operater vidi zgolj kriptirano povezavo do določenega IP naslova, ne pa tudi, katero domeno je uporabnik zahteval. Napadi na HTTPS sicer so možni, zlasti v korporativnem okolju s ti. ssl proxy-ji, širše pa ne (še dobro).

Zanimiva situacija bi nastala, če bi TPB na svojem spletišču postavil wordpress in h gostovanju povabil par uglednih posameznikov, nakar bi ti šli vprašat, zakaj zaboga je njihov blog blokiran širom Združenega kraljstva, ter kaj je treba urediti, da se ta blokada dvigne.