Z Madisonu do Moskvy: Jak fungují VPN a proč je vlády (navzdory všem pokusům) nemohou zastavit

Vlády se opakovaně snaží zablokovat internet, jen aby zjistily, že jim nikdy nepatřil.

Jasně modrý štít složený z propojených uzlů a polygonálních čar, umístěný nad soustřednými digitálními obvody a plynulými síťovými linkami na tmavě modrém pozadí, symbolizující kybernetickou bezpečnost a ochranu dat. 

Někde v Madisonu se jeden zákonodárce dívá na symbol Wi-Fi, jako by to byly hieroglyfy. U jednacího stolu ostatní zákonodárci souhlasně přikyvují a předstírají, že rozumí.

Problém, říkají, není v tom, že by jejich zákon o ověřování věku byl absurdní. Problém je v tom, že lidé k jeho obcházení používají virtuální privátní sítě. Řešení: zákaz VPN.

Ano, to je skutečné.

Návrh zákona AB 105/SB 130 je nejnovějším příspěvkem Wisconsinu do jeho stále rostoucího katalogu legislativního šaškování. Návrh zákona vyžaduje, aby všechny webové stránky nabízející materiály, které by mohly být „škodlivé pro nezletilé“, musely ověřit věk každého uživatele a zablokovat každého, kdo se připojí přes VPN.

Abychom pochopili, jak málo se tomuto zákonu věnovalo pozornost, stačí se podívat na to, co od webových stránek vyžaduje: blokovat „uživatele VPN z Wisconsinu“. Lidé, kteří tento zákon napsali, si neuvědomují, že VPN ze své podstaty maskuje původ internetového provozu.

Neexistuje žádný technický způsob, jak splnit požadavky zákona. To ale nezastavilo zákonodárce, kteří věří, že routery jsou poháněny vílím prachem.

Kdykoli nějaký zákon zní takto bezohledně, můžete se vsadit, že se prodává jako ochrana dětí. Je to šikovný štít. Formulace se rozšiřuje o „škodlivé pro nezletilé“ a zahrnuje cokoli, co se byť jen zmiňuje o sexu, anatomii nebo reprodukci. V praxi to zahrnuje učebnice biologie, umění, literaturu a většinu populární kultury.

Problém není v bezpečnosti. Jde o cenzuru s přátelskou tváří. Jakmile stát začne definovat, co je „škodlivé“, všechno se stane terčem. A ve Wisconsinu je tato definice tak rozšířená, že by se jí dalo projet datovým centrem.

Kdo je poškozen

VPN nejsou pro hackery specializovanými nástroji. Firmy se na ně spoléhají. Školy je potřebují. Novináři, oběti domácího násilí a aktivisté se na nich spoléhají, pokud jde o jejich ochranu. Dokonce i University of Wisconsin-Madison oficiálně poskytuje svou vlastní VPN, aby studenti mohli bezpečně přistupovat k výzkumným a studijním materiálům.

Takže když tito zákonodárci mluví o „zákazu VPN“, mluví o odříznutí podniků, studentů a zranitelných osob od základních nástrojů, které potřebují k práci a přežití. Je to digitální sebevražda historických rozměrů.

A samozřejmě každý, kdo se rozhodne toto omezení obejít, tak učiní. Otevřené proxy, levné servery, nové tunely – internet obchází nesmysly rychleji, než politik mění svá témata.

Toto se stane, když VPN zkrachují: Každý uživatel musí předložit oficiální průkaz totožnosti nebo kreditní kartu, aby prokázal svůj věk. Tato data pak skončí u poskytovatelů třetích stran, kteří by nedokázali ochránit ani sendvič, natož osobní údaje. Pokud – a ne v případě – dojde k úniku databáze, vaše jméno a historie prohlížení budou navždy uzamčeny v tabulce.

Ti samí zákonodárci, kteří postavili tento sledovací stroj, budou předstírat šok, až exploduje.

Michigan se o tento trik pokusil. Spojené království si jen mumlá, že udělá totéž. Šíří se to jako špatný nápad podpořený lobbistickými penězi. Poselství je jasné: pokud nástroje na ochranu soukromí ztěžují vymáhání špatných zákonů, pak problém musí být v těchto nástrojích.

Ironií je dokonalá. Lidé začali používat VPN, aby se chránili před sledováním. Zákonodárci si toho všimli a rozhodli se, že skutečnou hrozbou je soukromí. Je to jako zakázat deštníky, protože vás nebaví, že lidé zůstávají v suchu.

Pokud Wisconsin toto skutečně schválí, nebude to fungovat. Pouze to sníží bezpečnost webu, zníží jeho soukromí a zníží jeho funkčnost pro všechny ostatní. Závislí na pornografii nebudou trpět. Firmy, studenti a novináři ano.

Když se vlády snaží mikrospravovat internet, internet se tomu směje. Ale uživatelé za to platí. Zákazy VPN nechrání děti. Chrání nevědomost.

Pokud žijete ve Wisconsinu, zavolejte svému senátorovi. Řekněte mu, že by se vaše vláda měla naučit, jak funguje VPN, než začne zakazovat internet.

Pokud se vám plán vašeho státu na zákaz VPN zdá být již tak pomatený, počkejte si, až uvidíte, jak se o tohle celé roky snaží „seriózní“ vlády celého světa. Každý cenzor na planetě nakonec narazí na stejný problém.

Mohou schvalovat tolik zákonů, kolik chtějí, ale v cestě jim stojí fyzika a matematika.

Blokování známých rozsahů IP adres VPN

První trik v autoritářském systému je jednoduchý. Vlády nařizují poskytovatelům internetu, aby blokovali jakoukoli IP adresu patřící komerční VPN. Je to digitální útok na krtka.

VPN společnosti mohou měnit servery rychleji, než vlády stihnou vytvářet nové černé listiny. Mohou si pronajímat nové IP adresy, kombinovat lokality a prezentovat se jako běžný rezidenční provoz, tedy jako jakékoli domácí připojení.

Černé listiny se stanou během několika dní k ničemu.

Ti, co zůstali, nejsou zločinci. Jsou to účetní, kteří se snaží získat přístup k firemní síti ze svých hotelových pokojů.

Hloubková inspekce paketů: Luxusní název pro špionáž

Pak je tu Deep Packet Inspection, neboli DPI, která zní dostatečně technicky, aby zapůsobila i na senátora. Cílem je analyzovat internetový provoz a detekovat varovné signály VPN protokolů, jako je OpenVPN nebo WireGuard. Je to nástroj preferovaný cenzory v zemích, jako je Čína, kde je každý paket považován za potenciální myšlenkový zločin.

Problém: Vývojáři VPN nejsou hloupí. Maskují provoz tak, aby vypadal jako normální prohlížení webu. Někteří se schovávají v tunelech HTTPS nebo WebSocket. Jiní používají nenápadné režimy, které náhodně mění metadata. DPI se stává nekonečnou hrou na kočku a myš, kde myš neustále vymýšlí nové převleky.

Je to divadlo s dohledem a publikum za to platí.

Kriminalizace VPN: Hraní si se strachem

Když selže technologie, následuje zastrašování. Vlády schvalují zákony kriminalizující neoprávněné používání VPN v naději, že strach dosáhne toho, čeho kód nedosáhne. Vytváří titulky v médiích, zatýká pár nešťastných jedinců a všechny ostatní zahání do ilegality.

Ale i tehdy sítě přežívají. Uživatelé si zřizují soukromé servery, šifrují provoz, aby vypadal obyčejně, nebo přecházejí na veřejné Wi-Fi, aby zahladili stopy. Kriminalizace pouze žene používání VPN hlouběji do stínu, kde se stává obtížnějším sledovatelným a odolnějším vůči dohledu.

Jinými slovy, je to jako zakázat zámky, protože by je mohli použít zločinci.

Licenční past

Dalším oblíbeným je model registrace. Občané musí požádat o povolení k používání VPN a firmy se musí zaregistrovat u vlády. Je to digitální ekvivalent Hall Passu, než si budete moci zabezpečit svá vlastní data.

Poskytovatelé, kteří dodržují předpisy, jsou nuceni stát se monitorovacími partnery, povinni ukládat protokoly o používání a předávat je každému, kdo si o ně požádá. Skutečné nástroje pro ochranu soukromí se však jednoduše přesouvají do zahraničí. Uživatelé se obracejí na zahraniční nebo samohostované servery, které nejsou nikomu odpovědné.

Všechny tyto licenční modely dosahují toho, že se z občanů dodržujících zákony stávají datové body.

Blokování webových stránek a aplikací VPN

Když všechno ostatní selže, úřady se zaměří na distribuci. Blokují přístup k webům VPN nebo je odstraňují z obchodů s aplikacemi. Myšlenkou je v první řadě zabránit uživatelům ve stažení těchto nástrojů.

Výsledkem je mírná nepříjemnost. Uživatelé stahují aplikace z internetu, používají mirrory nebo si stahují instalační soubory z GitHubu či e-mailem. Někteří dokonce používají Tor ke stahování VPN, které chtěly vlády zavřít. Za každé zavřené dveře se objeví deset nových.

Povinnosti protokolování

Některé vlády volí rafinovanější přístup a nutí poskytovatele internetových služeb zaznamenávat metadata o šifrovaném provozu. Blokují také šifrovaný SNI, webovou funkci, která skrývá, které webové stránky uživatel navštěvuje. Je to způsob sledování bez přímého zákazu.

Šifrování se ale nestará o mandáty. Vývojáři implementují šifrované DNS dotazy a doménové fronty, aby zakryli cíle. Otisky prstů se neustále mění, což trackery opakovaně činí nepoužitelnými. Čím více vláda sleduje, tím méně vidí.

Cílení na obchody s aplikacemi a platby

A konečně je tu ještě vliv korporací. Pokud se přímá cenzura stane chaotickou, vlády budou tlačit na Apple, Google a poskytovatele platebních služeb, aby odstranili VPN aplikace nebo zmrazili své platby.

Toto bude fungovat, dokud uživatelé nezačnou platit kryptoměnami, používat alternativní repozitáře nebo sdílet aplikace přímo. Tato politika penalizuje pohodlí, nikoli soukromí. Lidé, kteří vědí, co dělají, si vždycky najdou způsob.

Pokud vlády skutečně uvedou svou fantazii o zákazu VPN do praxe, mohou očekávat technologický hon, který nemohou vyhrát. Společnosti stojící za těmito nástroji nejsou jen nějaké dítě ve sklepě s náhradním notebookem. Jsou to sítě inženýrů, kryptografů a fanatiků do soukromí, kteří berou cenzuru jako hádanku, kterou je třeba vyřešit.

Pro každý nový firewall postaví žebřík. Pro každou černou listinu vymyslí přestrojení. Není to férový boj.

Existují však způsoby, jak se lidé a VPN společnosti mohou bránit.

Rotace IP adres a rezidenční IP pooly

Prvním krokem je splynout s davem. VPN služby neustále aktualizují své IP adresy a nakupují přístup k rezidenčním IP fondům, které vypadají jako běžné domácí internetové připojení. Pro vládní filtr tento provoz vypadá jako babička kontrolující si e-maily nebo teenager sledující YouTube.

Než cenzor aktualizuje černou listinu, VPN už bude dávno pryč. Její blokování bude jako honit stíny koštětem.

Pokročilé technologie obfuskace

Vývojáři VPN zvládli umění maskování. Používají režimy zamlžování, díky nimž šifrovaný provoz vypadá jako normální provoz HTTPS nebo WebSocket. Některé napodobují hlasový provoz, jiné předstírají náhodný šum na pozadí.

Tyto techniky vycházejí z principu sítě Tor, původní anonymizační sítě, která po celá desetiletí přežila vládní dohled. Vlády dokáží detekovat běžné VPN podpisy, ale ne to, co vypadá jako běžné prohlížení. Každý paket se stává návnadou.

Tunely na jiných úrovních

Když se vládní firewall stane příliš rušivým, VPN se začnou zapouzdřovat do jiných protokolů. Skrývají se v připojeních TLS, QUIC nebo HTTP/2, které již miliony webových stránek používají. Blokování takového provozu by ochromilo celý web.

Krása této metody spočívá v její jednoduchosti. Díky propojení s páteří internetu nutí VPN cenzory volit mezi úplným dohledem a úplným vypnutím.

Možnosti vlastního hostování a decentralizované VPN

Mnoho společností poskytujících VPN nyní uživatelům poskytuje nástroje pro provozování vlastních privátních serverů. Stačí jen pár kliknutí a kdokoli si může nastavit osobní VPN server u cloudového poskytovatele nebo dokonce na svém domácím routeru. Některé experimentují s peer-to-peer sítěmi, díky nimž je každý uživatel součástí distribuované mesh sítě.

Tyto systémy je prakticky nemožné zablokovat. Neexistuje žádný centrální uzel, žádná veřejná IP adresa, kterou by bylo možné zablokovat, ani žádná autorita, na kterou by bylo možné vyvíjet nátlak. Každé připojení se stává vlastním malým ostrůvkem soukromí.

Víceskokové směrování a záložní cesty

Dalším krokem je redundance. VPN mohou směrovat provoz přes více uzlů, což umožňuje připojením procházet řadou bodů obfuskace na různých kontinentech. Pokud jedna cesta selže, software se automaticky přepne na jinou.

Z pohledu uživatele se připojení nikdy nepřeruší. Z pohledu cenzora je provoz pouhou fantomem. Pokaždé, když zavřou jedny dveře, VPN se objeví někde jinde.

Směrování podobné doménovému frontingu

Když se věci zhorší, VPN se uchylují k triku, který používají aktivisté a novináři v represivních režimech: doménovému frontingu, který skrývá VPN provoz ve velkých cloudových službách. Požadavek na VPN server vypadá jako požadavek na Google nebo Amazon. Aby jej vláda zablokovala, musela by ochromit polovinu internetového ústředny.

Země, které se o to pokusily, se ocitly v situaci, kdy neúmyslně odpojily bankovní systémy, nemocnice a vládní webové stránky. Ukazuje se, že i autoritářské státy potřebují k fungování cloudové služby.

Nenápadní instalátoři a alternativní distribuční kanály

Když se obchody s aplikacemi zpolitizují, VPN společnosti přecházejí do ilegality. Instalační balíčky vydávají prostřednictvím zrcadel GitHubu, šifrovaných e-mailů nebo dokonce offline médií. V extrémních případech maskují software jako něco úplně jiného, ​​například program pro úpravu fotografií nebo síťový nástroj.

Tyto taktiky nejsou nové. Aktivisté v Íránu, Rusku a Číně je používají již léta k distribuci softwaru pod přísnou cenzurou. Pokaždé, když vláda uzavře jeden kanál, objeví se jiný, provozovaný dobrovolníky, kteří se odmítají vzdát přístupu k otevřenému webu.

Partnerství s komunitami zaměřenými na soukromí

Společnosti VPN mají tajnou zbraň: komunity, které si skutečně cení soukromí. Vývojáři open-source programů provozují zrcadla, bridge servery a alternativní přístupové body. Když se vlády pokusí izolovat uživatele VPN, tyto sítě je nenápadně znovu připojí.

Je to jakási infrastruktura odporu, vybudovaná lidmi, kteří vnímají soukromí jako občanskou povinnost, ne jako koníček. Vlády mají policii a právníky. VPN mají inženýry, kteří nikdy nespí.

Decentralizované platební metody

I kdyby cenzoři zastavili tok peněz, VPN mají záložní plány. Přijímají kryptoměny, předplacené poukázky a další anonymní platební metody, které obcházejí banky a obchody s aplikacemi. Jakmile mohou uživatelé platit, aniž by odhalili svou identitu, finanční tlak ztrácí smysl.

V některých regionech VPN distribuují aktivační kódy prostřednictvím digitálních dárkových karet a darů od komunity, čímž zcela obcházejí tradiční platební systémy. Byznys pokračuje, zatímco regulační orgány nadále spekulují.

Každá vláda, která se snaží potlačit VPN, poskytuje důkaz, proč je lidé potřebují. Čím tvrdší je zásah, tím chytřejší se nástroje stávají. Každý zákaz vytváří nové řešení, každé omezení nový řádek kódu.

VPN společnosti už neprodávají jen soukromí. Budují paralelní internet, který se nikoho neptá na svolení. A než se cenzoři konečně podívají od svých rozbitých firewallů, zbytek světa se snad už dávno posune dál.

Christina Maas