Článek
Nejprve je třeba zmínit, co vlastně internet je. Jedná se o síť vzájemně propojených počítačů a serverů, které spolu komunikují a jsou schopné přenášet mezi sebou informace, respektive datové pakety. Rychlost přenosu pak závisí na technologii připojení a počtu zastávek mezi bodem počátku a cíle.
Pro 95 % občanů by ale vypnutí internetu znamenalo i prostý fakt, že se nemohou dostat na internetové bankovnictví, e-mail, jízdní řády, zpravodajské servery a úložiště, kde často ukládají svá osobní data - například Google cloud. Tuto možnost článek rozebírá, nevěnuje se vojenské komunikaci ani kritické infrastruktuře státu.
V tomto článku tak zejména pro laiky rozeberu tři velmi reálné možnosti „vypnutí“ internetu, ke kterým může dojít a ochromily by velkou část toho, co známe a vykládáme si jako internet. Jde o útok na páteřní DNS servery, respektive ochromení správců národních i mezinárodních domén, útok na hlavní peeringové uzly nebo přerušení několika páteřních optických kabelů a v neposlední řadě také zásah státu, který může na národní úrovni libovolně ve spolupráci s poskytovateli služeb „omezit“ viditelnost určité části internetu pomocí takzvaných DNS resolverů a TLD serverů.
Laicky řečeno, můžete buď omezit dostupnost nebo propustnost infrastruktury a tím zamezit přístupu do klíčových portálů a služeb. Obojí až moc jednoduše.
Začneme od konce a to konkrétně u otázky, jak mohou soukromé firmy a stát do internetu zasáhnout, tedy blokovat samotnou dostupnost. Poté rozeberu, jak se dá omezit kapacita, což je složitější, ale daleko nebezpečnější.
Operátoři a stát již dnes část internetu blokují, okruh lze jednoduše rozšířit
Znáte ten pocit, když vám zaměstnavatel zakáže na pracovním počítači YouTube, Netflix nebo iVysilani a stránky pro vás nejsou dostupné? To platí pouze pro váš konkrétní počítač. Stejným způsobem jde část a nebo celý internet zablokovat i na dalších úrovních - u operátorů na lokální ústředně nebo rovnou na páteřním routeru.
Pokud máte například v domě operátora Vodafone nebo poskytovatele bezdrátového připojení, ten má na místě router s rekurzivním resolverem, který umí pro lokalitu konkrétního domu, nebo několika sousedních dohromady - záleží na velikosti sítě - blokovat konkrétní stránky, které posléze uvidíte jako nedostupné. Pokud by operátor nastavil blokaci stránky pro zónu několika domů, bude účinná jen pro danou oblast a zbytek zákazníků v jiných lokalitách změnu nepozná. Velikost sítě, na kterou blokaci operátor uplatní, je pouze na něm a může tak učinit i celoplošně pro všechny své zákazníky.
Mezi počítačem a širší sítí routerů poskytovatele existují DNS resolvery, které vyřizují vámi zadané požadavky pro připojení na konkrétní stránku, tu pak mohou blokovat a nezobrazit.
Některé stránky již operátoři blokují na příkaz státu, jedná se zejména o nelegální hazardní portály, které ministerstvo financí pravidelně rozšiřuje a zákonem ukládá operátorům podřídit se a neumožnit jejich klientům přístup. Takto Česká republika teoreticky může seznam blokovaných adres rozšířit a v extrémním - velice nepravděpodobném - případě celý internet zredukovat do jedné povolené stránky www.vlada.gov.cz.
Zde se předpokládá součinnost národních operátorů z nichž každý by musel respektovat vládou vydaný zákon a stránky blokovat. Tyto hromadné blokace probíhají na páteřních routerech, což jsou centra souběhu množství lokálních sítí do jednoho bodu, typicky v datacentru, ze kterého poté operátor propojuje svou síť s dalšími mezinárodními operátory. Blokace nastavená na páteřním routeru tak má vliv na většinu, ne-li na celou síť a tudíž zasáhne miliony zákazníků.
V Rusku je tento případ extrémní, kdy operátoři internetové infrastruktury musí využívat vládou dodané DNS resolvery a routery, které jsou přímo napojeny na úřad Roskomnadzor. Ten tak má možnost okamžitě a na velice širokém spektru operátorů znemožnit přístup na konkrétní stránky a zablokovat konkrétní IP adresy. Uživatel tak vidí stránky jako nedostupné a i kdyby si manuálně nastavil IP adresu serveru - obešel by domain name system - nebylo by opatření účinné.
V České republice ale zatím takové praktiky neexistují a operátoři jen těžko přijali blokaci samotného nelegálního hazardu. Jsem si tak zcela jistý, že přitvrzení a nástup vládní cenzury nehrozí.
To jsou tedy operátoři - ti vám přístup k internetu poskytují. Mohou jej ať už z vlastního popudu nebo kvůli nařízení vlády omezit, zablokovat a určit, kterou část internetu uvidíte a jaké stránky zůstanou skryté.
Blokovat lze i konkrétní webové stránky a služby celoplošně v nezávislosti na operátorovi - ČR si to již vyzkoušela
Pamatujete na případ zablokování několika webů po ruské invazi na Ukrajinu? Z čista jasna se veřejnost dozvěděla, že jde velice efektivně blokovat stránky s českou doménou (.cz). Veřejnost se také dozvěděla, že existuje správce domény, soukromá společnost CZ.NIC, která tak má téměr absolutní moc nad českým internetem, jak někteří tvrdili - a mají pravdu. Někdo ale doménu spravovat musí a je dobře, že není v rukou státu z několika důvodů - ruský příklad napoví.
Stejným způsobem blokace by mohlo dojít ke „zmizení“ kterékoli stránky - alza.cz, seznam.cz, cd.cz, ib.fio.cz - včetně internetového bankovnictví, informačních portálů nebo oblíbených obchodů. Stačí několik kliků a stránky zmizí na seznam blokovaných webů, kde jsou dnes zejména podvodné e-shopy a weby sloužící k trestné činnosti.
Každý stát má svého správce národní domény. V Německu je to doména .de a správce DENIC, ve Francii doména .fr a správce AFNIC, Česká republika má také svého správce, již zmíněný CZ.NIC. Všichni jmenovaní správci jsou soukromé společnosti, kterým stát buď propůjčí, nebo pronajme správu národní domény a určí podmínky, za kterých mohou doménu provozovat. Je tak oddělená moc státu od kontroly nad internetem, což je dle mého názoru správně.
Správci provozují takzvané TLD DNS servery, které slouží pro doménu nejvyšší úrovně, tedy národní doménu .cz v případě České republiky. Na obrázku níže je vidět schéma, jakým počítač komunikuje při zadání stránky www.seznam.cz do prohlížeče se servery jednotlivých poskytovatelů a národního správce (na obrázku TLD server).
Proces komunikace s webovou stránkou a jednotlivé servery, které dotaz uživatele vyřizují krok po kroku.
Blokací na úrovni TLD serveru je tak možné stránku zcela vyřadit a zamezit dotazům na její dostupnost, tedy připojení k ní. Po zadání www.seznam.cz v případě blokace by tak došlo k nevyřízení dotazu a zobrazení stránky jako nedostupné. Pro většinu laických uživatelů by to znamenalo „vypnutí“ stránky, protože málokdo zná IP adresu například Googlu, která je mimochodem 142.250.70.196. Zadáte-li toto číslo do prohlížeče, obejdete systém DNS a připojíte se pomocí IP adresy přímo na server google.com
Většinu uživatelů tato blokace ale ochromí, protože si jednoduše nepamatují konkrétní IP adresy a pokud budou stránky nedostupné, poskytovatelé nebudou mít jak své IP adresy sdílet s veřejností.
Stejným způsobem lze zablokovat německou, francouzskou, polskou nebo britskou národní doménu a ochromit většinu místních služeb, respektive učinit je nedostupnými.
Výše uvedené způsoby blokací na úrovni operátorů nebo národního správce domény jsou ale efektivní pouze u laické veřejnosti. Operátoři kritické infrastruktury se stále na své servery připojí, technicky zdatní uživatelé obejdou systém DNS a základní infrastruktura bude fungovat. Sice dojde k panice a lidé se nebudou umět dostat do svého internetového bankovnictví nebo na oblíbené médium, nic zásadního se ale nestane.
V případě omezení kapacity internetového připojení lze ale mluvit o zcela jiné situaci, která by byla kriticky nebezpečná a proto je také klíčová infrastruktura chráněná na té nejvyšší úrovni.
Datacentra odolají jadernému výbuchu, kabely stráží armády
Úsměvný případ z roku 2011, kdy sběračka šrotu v Gruzii přeřízla kabel a zklamaná odešla, protože nebyl z mědi, dokládá zranitelnost internetové infrastruktury. Žena ve věku 75 let způsobila výpadek připojení celé Arménie v trvání pěti hodin, přeřízla totiž páteřní optický kabel a ochromila všechny arménské operátory. Televize vysílaly s černými obrazovkami, Arméni nemohli do svého bankovnictví, nefungovaly jízdní řády a mobilní data.
Na místo byl okamžitě vyslán tým s úkolem kabel spravit - svařit - a připojení obnovit. Operace trvala pět hodin a žena byla krátce zatčena, posléze však propuštěna kvůli svému věku. Událost je alarmující pro případy možného ozbrojeného konfliktu nebo úmyslné sabotáže. Jen pokud by došlo k přerušení kabelu na několika místech vzdálených od sebe pár set metrů, budou týmy techniků řešit opravdu zásadní problém a připojení by nefungovalo o mnoho déle.
Páteřní optické kabely jsou tak velmi zranitelnou infrastrukturou a v České republice naštěstí nejsme v Gruzii - naše páteřní infrastruktura vede pod dálnicemi, hlavními železničními tahy a plynovody. Někdy ale operátoři, například švédská Telia, vedou mezinárodní optický kabel i po poli - sám jsem byl svědkem odhalení takového kabelu kousek od Brna, které mne doslova vyděsilo. Lokalitu raději nebudu zmiňovat. Po průzkumu, kdo kabel vlastní a co dělá odhalený na okraji pole, jsme dostali vyjádření od společnosti Telia, že jde o propojení Varšavy, Brna a Vídně. Situace z Arménie a Gruzie by se tak mohla pro určité lokality v Rakousku, Polsku a České republiky vinou nemotorného traktoristy opakovat.
Takto vypadá síť mezinárodního operátora infrastruktury Telia, který je jedním z největších v Evropě.
Úmyslná sabotáž je ale reálným nebezpečím, jak ukazuje případ přerušeného optického kabelu na dně Baltského moře. Aliance NATO a jednotlivé členské státy tak vysílají na ochranu kritické infrastruktury pod mořem své ponorky, monitorují pohyb a nekompromisně jednají, jsou-li obavy oprávněné.
Při rozpoutání vojenského konfliktu je tak v dnešní době ochromení infrastruktury zásadní. Většina té v České republice je dobře chráněná, pokládá se pod dálnice, železniční tahy a plynovody. Je navíc kapacitně znásobená pro případ ochromení, tedy lze připojení vést jinými trasami a takzvaně přehodit výhybku při akutních problémech.
Horší je to s kabely podmořskými, kde existují místa dostupná s pokročilou potapěčskou výbavou a vojenské podniky vyvíjí podmořské výbušniny schopné tyto kabely přerušit. Oprava by vyšla na dny až týdny, zatímco trasy těch nejdůležitějších kabelů například mezi EU a USA nejsou budované na odolnost proti úmyslnému útoku na několika frontách. Stejně rychle jako vývoj útočných zbraní proti podmořské infrastruktuře tak postupuje vývoj obranných zařízení a budování dodatečné infrastruktury násobící kapacity té dnešní.
Mapa podmořských kabelů
Zaútočit na samotná datacentra, kde mají své servery a routery hlavní poskytovatelé, jako je to pod Žižkovskou věží, nebo Ce-Colo v pražských Vršovicích, je téměř nemožné. Datacentra jsou často jako jaderné bunkry a odolají výbuchu i bombardování. Budována jsou pod zemí a každý operátor udržuje svou přítomnost v několika těchto páteřních datacentrech, která jsou mezi sebou propojená. Daleko větší smysl pro útočníky má sabotáž kabelů samotných, nikoli míst, kde se propojují. Samotnou kapitolou jsou poté vojenské kabely - ty si armády tahají samy a běžně jsou oddělené od „uživatelské“ infrastruktury. I kdyby tedy došlo k ochromení internetu, vojenská komunikace „by měla“ fungovat.
Omezení kapacity tak vytvoří úzké hrdlo v odesílání a přijímání dat. Ochromí jak poskytovatele služeb, tak samotné uživatele. Síť přestane zvládat propouštění ohromných objemů dat a zkolabuje. Narozdíl od ochromení systému DNS je přerušení kapacity samotné infrastruktury mnohonásobně nebezpečnější.
Internet přestává být pro všechny a státy utahují šrouby
Totality jako Rusko, Čína nebo Írán samozřejmě neumožňují svobodný přístup do celosvětové sítě World Wide Web. S rozmachem moderních technologií ale také přibývá podvodných stránek, dezinformačních portálů napodobujících ty vládní nebo soukromé a také kvůli hybridní informační válce dochází k šíření nebezpečných informací schopných ovlivnit veřejné mínění.
Je tak s podivem, že mezinárodní organizace jako je RIPE NCC - správce IP adres - a ICANN - správce domény .com a nadřízená organizace národním správcům domén - fungují dále a spolupracují napříč rozdíly v politickém směřování. Jsou v nich zastoupeni Číňané, Rusové, Afričané, Evropané i Jihoameričané, vesměs přesvědčení odborníci a obránci síťové neutrality.
Zatímco globální velmoci řinčí zbraněmi a hašteří nad politickými otázkami, nadnárodní správci internetu dokáží stále spolupracovat a odrážet pokusy vlád o infiltrace těchto organizací, které by politikům propůjčilo mocnou zbraň - kontrolu nad internetem.
I přes všechny výše uvedené způsoby blokací tak většina vlád - kromě zmíněných totalit - nemá nástroj, jak internet blokovat bez spolupráce soukromých firem nebo nadnárodních organizací a svoboda přístupu k informacím v dnešní Evropě nebo USA je stále na vysoké úrovni. Chceme-li si ale svobodu přístupu na necenzurovaný internet zachovat, je třeba bojovat proti jakémukoli pokusu o narušení - i s dobrými úmysly - neutrality a nevládní kontroly nad celosvětově užívanou sítí internet.
