TPB-esto: millainen se on ja miten se kierretään

Elisa esti The Pirate Bayn tänään.
Esto on laaja, mutta helposti kier-
rettävissä.

Kuva: The Pirate Bay -logo/
The Pirate Bay

Elisa ryhtyi tänään estämään asiakkaitaan pääsemästä The Pirate Bay -sivustolle lokakuisen käräjäoikeuden päätöksen johdosta, kun Elisa sai ulosottoviranomaiselta tarkennuksia siihen, miten esto tapahtuu. Asiasta uutisoi muun muassa It-viikko.

Itse Elisan liittymää käyttävänä voin vahvistaa, että estotoimenpiteet ovat ainakin kirjoitushetkellä meneillään. Käsittelen estoja tarkemmin alempana tässä kirjoituksessa.

Päivitys 11.6.: Soneran ja DNA:n liittyessä Elisan seuraan, päivitin TPB-eston kierto-ohjetta. Lue uusi artikkelini »

The Pirate Bay on kirjoitushetkellä käytettävissä Elisan liittymissä käyttäen osoitetta http://thepiratebay.ee, jonka DNS- ja IP-osoitteet puuttuvat estolistoilta.

Elisan lehdistötiedotteessa liittymäliiketoimintajohtaja Henri Korpi valottaa eston käyttöönoton syytä:

Ulosottoviranomaiselta saamiemme yksilöityjen tietojen perusteella meidän on toteutettava vaadittavat toimenpiteet, kunnes asia on käsitelty oikeusteitse loppuun saakka.

Tiedotteessa kerrotaan myös, että esto on toteutettu kahdella tapaa: poistamalla DNS-osoitteet nimipalvelimilta, sekä estämällä liikenne IP-osoitteisiin. Lista poistetuista ja estetyistä osoitteista on annettu Elisan asiakastiedotteessa, ja sen tietojen pohjalta ryhdyinkin selvittämään estoja tarkemmin.

Mielenkiintoista on, että toisin kuin lapsipornofiltterin kanssa, tässä ei käyttäjää ohjata selitesivulle, vaan selain näyttää lopulta aikakatkaisuviestin. Olisi vähintäänkin aiheellista informoida asiakkaita jollain tapaa, joskaan se ei ole teknisesti kovin helppoa toteuttaa.

DNS-eston testasin siten, että kutakin listattua osoitetta kyseltiin Elisan (193.229.0.40 ja 193.229.0.42) ja OpenDNS:n (208.67.220.220) nimipalvelimia vasten. Elisan palvelimet palauttivat lähes kaikille kyselyille koodin NXDOMAIN, joka tarkoittaa ettei DNS-osoitetta löydy.

Allaolevassa taulukossa on listattu tulokset näiltä nimipalvelimilta. Ensimmäisenä oleva ”google.fi” on todisteena siitä, että nimipalvelimet muuten toimivat mielekkäästi.

DNS-osoite Elisa 1 Elisa 2 OpenDNS
google.fi 209.85.173.105 209.85.173.104 209.85.173.105
thepiratebay.org NXDOMAIN NXDOMAIN 194.71.107.15
www.thepiratebay.org NXDOMAIN NXDOMAIN 194.71.107.15
depiraatbaai.be NXDOMAIN NXDOMAIN 194.71.107.15
www.depiraatbaai.be NXDOMAIN NXDOMAIN 194.71.107.15
piratebay.am NXDOMAIN NXDOMAIN 194.71.107.15
www.piratebay.am NXDOMAIN NXDOMAIN 194.71.107.15
piratebay.net NXDOMAIN NXDOMAIN 194.71.107.15
www.piratebay.net NXDOMAIN NXDOMAIN 194.71.107.15
www.piratebay.no NXDOMAIN NXDOMAIN NXDOMAIN
piratebay.no NXDOMAIN NXDOMAIN NXDOMAIN
piratebay.se NXDOMAIN NXDOMAIN 194.71.107.15
www.piratebay.se NXDOMAIN NXDOMAIN 194.71.107.15
suprnova.com NXDOMAIN NXDOMAIN NXDOMAIN
www.suprnova.com NXDOMAIN NXDOMAIN NXDOMAIN
themusicbay.com NXDOMAIN NXDOMAIN 194.71.107.15
www.themusicbay.com NXDOMAIN NXDOMAIN 194.71.107.15
themusicbay.net NXDOMAIN NXDOMAIN 194.71.107.15
www.themusicbay.net NXDOMAIN NXDOMAIN 194.71.107.15
themusicbay.org NXDOMAIN NXDOMAIN 194.71.107.15
www.themusicbay.org NXDOMAIN NXDOMAIN 194.71.107.15
thepiratebay.am NXDOMAIN NXDOMAIN 194.71.107.15
www.thepiratebay.am NXDOMAIN NXDOMAIN 194.71.107.15
www.thepiratebay.com NXDOMAIN NXDOMAIN 194.71.107.15
thepiratebay.com NXDOMAIN NXDOMAIN 194.71.107.15
thepiratebay.gl NXDOMAIN NXDOMAIN 194.71.107.15
www.thepiratebay.gl NXDOMAIN NXDOMAIN 194.71.107.15
thepiratebay.net NXDOMAIN NXDOMAIN 194.71.107.15
www.thepiratebay.net NXDOMAIN NXDOMAIN 194.71.107.15
www.thepiratebay.se NXDOMAIN NXDOMAIN 194.71.107.15
thepiratebay.se NXDOMAIN NXDOMAIN 194.71.107.15
www.piraattilahti.fi NXDOMAIN NXDOMAIN 79.171.233.94
piraattilahti.fi NXDOMAIN NXDOMAIN 79.171.233.94
thepiratepay.org.nyud.net 129.74.74.20 204.85.191.10 129.107.35.132

Suurin osa estetyistä osoitteista saa OpenDNS:ltä vastaukseksi The Pirate Bayn IP-osoitteen 194.71.107.15. Mielenkiintoisesti Elisan nimipalvelimet palauttavat kuitenkin tuon IP-osoitteen käänteisenä DNS-osoitteena aivan oikein thepiratebay.org:n.

Listassa on kuitenkin muutamia osoitteita, jotka eivät sovi kaavaan:

  • (www.)piratebay.no, (www.)suprnova.com: Näitä osoitteita ei vaikuta olevan muutenkaan. Tarkistin asian vielä Googlen DNS-palvelua vasten, ja tulos oli NXDOMAIN myös silloin. Olisikin mielenkiintoista tietää, onko ulosottoviranomaisen kyhäämä lista jonkinlainen copypaste esim. jostain vanhasta foorumiviestistä.
  • (www.)piraattilahti.fi: Viestintäviraston verkkotunnuspalvelun mukaan osoitteet on varannut Ville Vuorinen. Vuorinen kertoo verkko-osoitteestaan blogissaan:

    Piraattilahti eroaa thepiratebaysta siten, että piraattilahti on vain osoite, joka ohjaa eri reittiä piratebayhin. Eli jos pääsy thepiratebay.orgiin estetään suomessa operaattoreiden, tai krpn puolesta DNS, tai IP estolla, piraattilahti.fi palvelee silti.. Palvelimella sijaitseva piraattilahden hakemisto on tyhjä, eikä se ole missään yhteydessä thepiratebay.orgiin.

    Kirjoitushetkellä verkko-osoite osoittaa kuitenkin Effin sivuille.

  • thepiratepay.org.nyud.net: Pienet sivut usein kaatuvat suurten kävijävyöryjen alle. Coral CDN tarjoaa kuitenkin ilmaisen mahdollisuuden sivulatausten jakamiseen sen palvelimille, jolloin alkuperäisen palvelimen kuorma vähenee. Coral CDN:n käyttö on yksinkertaista: halutun DNS-osoitteen perään lisätään nyud.net, ja pilvipalvelu hoitaa loput.

    Verkko-osoite on väärin kirjoitettu Elisan tiedotteessa, ja sellaisenaan testattu. Oikein kirjoitettu versio palauttaa NXDOMAIN:n Elisan DNS-palvelimilta. Sen sijaan muiden TPB-osoitteiden ja nuyd.net:n yhdistelmiä ei ole ilmeisesti estetty.

Mielenkiintoista on, että listassa olevien verkko-osoitteiden seassa oli myös kaksi erilaista välipalvelinpalvelua. On hieman kyseenalaista estää tiettyjä proxyjä toimimasta, kun niitä Internetissä kuitenkin on käytettävissä käytännössä rajaton määrä. Ilta-Sanomien¹ haastattelema Effin hallituksen varapuheenjohtaja Ville Oksanen kertoo artikkelissa sensuurin epätoivoisuudesta:

Kiinassa on virasto, jossa on 15 000 henkilöä vastaamassa internetin sensuroinnista. Ei sielläkään ole onnistuttu.

IP-estolistalla on Elisan tiedotteen mukaan kolme The Pirate Bayn IP-osoitetta: 194.71.107.15, 194.71.107.19 ja 194.71.107.18. Ilmeisesti nämä on estetty palomuurisäännöin, sillä kirjoitushetkellä reittiä ei löytynyt, vaan matka tyssäsi Elisan yhdyskäytävään Helsingissä:

$ tracepath 194.71.107.15
 1:  kserver-fukushima.kserver.dy.fi    0.100ms pmtu 1500
 1:  10.9.64.1                         55.861ms asymm  2
 1:  10.9.64.1                         56.149ms asymm  2
 2:  172.29.249.129                    66.636ms
 3:  ge0-2-0.jyvyo-p2.fi.elisa.net     57.797ms asymm  4
 4:  ae1.helpa-gw1.fi.elisa.net        62.618ms asymm  7
 5:  no reply
 6:  no reply
 7:  no reply
 8:  no reply
 9:  no reply
^C

Mielenkiintoisesti muut The Pirate Bayn IP-osoitteet (194.71.107.*) näyttivät reitittyvän oikein.

Ensimmäistä kertaa Suomessa nähtiin tällainen sekä IP- että DNS-esto, jolloin eston ohittaminen ei onnistu vain nimipalvelinta vaihtamalla, sillä nimipalvelimesta riippumatta IP-osoite pysyy samana.

Näin aukeaa The Pirate Bay, vaikkei pitäisi.

Kuva: Kuvakaappaus.

Apuun tulevatkin erilaiset välityspalvelimet, joista kirjoitushetkellä eniten puhuttu on alussa mainitsemani thepiratebay.ee, joka palauttaa IP-osoitteen 90.190.69.252. IP-osoite kuuluu TeliaSoneran omistaman virolaisen Elionin osoiteavaruuteen.

Esto on siis varsin helposti kierrettävissä, ja on todisteena siitä, että rakenteeltaan avoimessa Internetissä erilaiset estotoimenpiteet ovat varsin tehottomia ja turhia. Internetin avoimuuden rajoittaminen on kuitenkin aina vaarallista, sillä aina kun luodaan uusia estomekanismeja, erilaiset väärinkäytökset helpottuvat.

Kokonaisuutena The Pirate Bayn estäminen on saavuttanut jo jonkinlaisen farssin mittapuun, ja Elisan lehdistötiedotteessa Korpi korostaakin, että toisenlaiset keinot olisivat parempia:

Toimijoiden pitäisi nyt keskittyä toimenpiteisiin, joilla aidosti voidaan vähentää piratismia eli käytännössä sisällön saamista verkkojakeluun kohtuullisella hinnalla ja samaan aikaan muun jakelun kanssa.

On mielenkiintoista nähdä, kuinka kauan estoa jatketaan. Toivottavasti hovioikeudelta – sitten aikanaan – löytyy sen verran osaamista ja ymmärrystä, että tällainen älyttömyys saataisiin loppuun, eikä yllytettäisi tekijänoikeusjärjestöjä hakemaan mielivaltaisesti estoja muillekin sivustoille.

Elisaa on kuitenkin tästä kaikesta turha syyttää: se on kuitenkin aktiivisesti taistellut vastaan. Syyttävä sormeni lankeaakin nyt IFPI:ä ja TTVK:ta kohti. Jos oikeus päätyy siihen, että estolle ei ollut perusteita, pitäisi nämä veijarit saattaa rahallisesti vastuuseen teoistaan, jotta vastaavaa ei tarvitsisi kokea enää koskaan. Pidetään peukkuja!


1) Huomautuksia IS:n uutisesta: Oksanen ei ilmeisesti ollut tietoinen, että piraattilahti.fi ohjasi alunperin TPB:hin. Ilta-Sanomien mainitsema piraatti.fi -osoite ei ole estettynä, vaan toimi ainakin kirjoitushetkellä normaalisti.
Muokattu 9.1.12 klo 18:45: Lisätty huomioita TorrentFreakin uutisen pohjalta.

    Effi älähti TTVK:n käytöksestä syyttää liittymänhaltijaa

    Effi kiinnittää huomiota TTVK:n tapaan
    kohdella liittymänomistajaa automaattisesti
    syyllisenä.
    Kuva: Public Domain/ Riku Eskelinen

    Sähköisiä oikeuksia puolustava yhdistys Electronic Foundation Finland ry (Effi) julkaisi tänään lehdistö­tiedotteen otsikolla ”IP-osoite ei yksilöi käyttäjää”, jossa se ruotii Tekijän­oikeuden tiedotus- ja valvonta­keskus ry:n (TTVK:n) tapaa lähettää tekijän­oikeus­rikkomus­vaatimuksia IP-osoite­tunnistuksen perusteella. Effin huoli on mielestäni täysin aiheellinen.

    IP-osoitetunnistuksella tarkoitetaan käytännössä sitä, että oikeudenhaltija (tässä siis TTVK) hakee oikeusteitse operaattorilta tiedon siitä, kenen nimissä olevalle liittymälle IP-osoite oli osoitettuna tiettynä hetkenä.

    Kuitenkaan IP-osoite ei ole missään nimessä sellaista todistusaineistoa, jolla voitaisiin aukottomasti osoittaa laittomasti materiaalia lataava henkilö, eli syyllinen. Viime vuoden elokuussa kirjoittamani postaus asiasta selittää, miksi.

    Siksi TTVK:n – tai yhtään kenenkään – ei pitäisi tuollaisten tietojen perusteella alkaa syyllistämään liittymänhaltijaa. TTVK ei muutenkaan ole minkäänlainen viranomaistaho, vaan enemmänkin äärimmäisen puolueellinen yksityinen järjestö. Myös Effin tiedotteessa ihmetellään asiaa:

    ”Erityisen oudoksi asian tekee se, että TTVK, yksityinen yhdistys eikä mikään viranomainen, käyttäytyy kuin se olisi lainsäätäjä, poliisi, syyttäjä ja tuomari samalla kertaa lähetellessään tällaisia ’teidät on todettu syylliseksi’ -kirjeitä”, paheksuu Effin varapuheenjohtaja Tapani Tarvainen.

    TTVK toimii kuin paraskin poliisi,
    vaikka ainakaan toistaiseksi tekijän-
    oikeusmafia ei ole tullut ketään
    kotoa hakemaan.
    Kuva: Openclipart

    TTVK:n on suhteellisen helppo jakaa tällaisia ”anna rahaa tai mennään käräjille” -lappuja käytännössä kenelle tahansa. Monet varmasti pelästyvät tällaista signaalia noinkin virallisen kuuloiselta järjestöltä, ja maksavat mukisematta oikeusjutun pelossa.

    TTVK:lle tällainen on tietenkin äärimmäisen kannattavaa toimintaa – oikeudessahan pitäisi sitten näyttää toteenkin asioita, eikä vain itsenäisesti päättää jonkun olevan syyllinen.

    Tässä suhteessa TTVK osoittaakin olevansa harhaisen kaukana siitä todellisuudesta, missä oikeat lihaa ja verta olevat kuluttajat ovat. TTVK tuntuu omien tiedotteidensa perusteella olevan jopa ylpeä siitä.

    TTVK:n intressien mukaista on luonnollisesti pyrkiä tappamaan kaikki muutos, sillä se vaatisi sopeutumista ja ehkä jopa vanhentuneiden mantrojen toistelun lopettamista. Siksi sitä ei luultavasti kiinnosta millään mittaa esim. Effin esiin nostama ongelma avointen WLAN-verkkojen tarjoamisen suhteen (Effin lehdistötiedote):

    Omistajan syyllistäminen avoimen WLANin käyttäjien teoista lyö myös eduskuntaa vasten kasvoja yrittäessään mitätöidä keväällä säädetyn lain, jonka mukaan avointa WLAN-verkkoa saa laillisesti käyttää.

    ”Mitä järkeä on sallia avoimen WLANin käyttö, jos sellaisen tarjoaminen tehdään käytännössä mahdottomaksi”, ihmettelee Timo Karjalainen ja jatkaa, ”Eihän Destiakaan ole vastuussa rikoksista, joita sen vapaasti käytettäväksi tarjoamilla teillä tehdään.”

    IP-osoite ei kerro koko totuutta

    Luin tänään uutista Iltalehden verkkosivuilta, ja huomasin ko. uutisen kirjoittajan, Risto Kunnaksen, kirjoittaneen seuraavaan tapaan:

    Tarkoituksena on saada lupa siihen, että lehti voi luovuttaa palvelimellaan mahdollisesti olevan viestin laatijan ip-osoitteen (numerosarjan, joka yksilöi tietokoneen, jolta viesti on lähetetty).

    On yleinen harhaluulo, että IP-osoitteella voitaisiin yksilöidä se tietokone, josta viesti on lähetetty. Internet ei vain toimi niin. Havainnollistan itseäni kuvasarjalla, jonka tässä samalla annan public domainiksi ts. kieltäydyn kaikista tekijänoikeuksistani:

    Erään vielä vääremmän harhaluulon mukaan Internetissä tieto kulkee näin:
    Kuvassa tämä tyylikäs vihreätakkinen mies on lähettänyt viestin foorumille, ja foorumin palvelin näkee käyttäjän IP:ksi 12.34.56.78. Jos asiat olisivat näin yksinkertaisia, voitaisiin kuka tahansa käyttäjä yksilöidä. Näin ei kuitenkaan ole.

    Tämä mies nimittäin käyttää apunaan yllättäen tietokonetta. Yksinkertaisimmillaan se tarkoittaa sitä, että tietokoneessa on sisäinen modeemi, joka saa Internet-palveluntarjoajalta tietyn IP:n. Palveluntarjoaja pystyy kyllä kertomaan, kenen asiakkaan käytössä tämä kyseinen IP on tiettynä ajankohtana ollut. Jos asiat olisivat näinkään yksinkertaisia, voitaisiin jälleen ”syyllinen” löytää melko helposti.
    Valitettavasti tällä miehellä on – kummallista kyllä, täysin samannäköisiä – perheenjäseniä, jotka käyttävät tätä samaa tietokonetta. Nyt asiat alkavatkin mennä jo monimutkaisiksi, sillä vaikka operaattori voikin huudella rivouksia tämän miehen perään, ei hän välttämättä ole pahis tässä, vaan joku hänen perheenjäsenistään. Noh, ehkä tietokoneella olisi eri käyttäjätunnukset eri käyttäjiä varten, ja kirjautumislokeista voitaisiin nähdä, kenen syytä kaikki on. Vieläkään ei tosin olla siinä todellisuudessa, jossa suurin osa elää:
    Nykyään monet käyttävät omassa liittymässään modeemia, jossa on NAT-reititin. Laite luo oman lähiverkkonsa, ja ainoastaan tähän reitittimeen asti operaattori voi olla varma asioista. Se, millä lähiverkon koneella pahuudet on tehty, on mahdotonta selvittää ilman modeemin takavarikointia ja analysointia. Tällöinkään ei tiedetä, kuka on syyllinen ts. kuka on käyttänyt konetta, jolla esim. uhkausviestit on lähetetty.

    Myös seuraavat asiat tekevät tästä IP=tietokoneen tunniste -väitteestä valheellisen:

    • VPN eli virtuaalilähiverkko. Esimerkkini mies voisi esimerkiksi yhdistää yrityksensä lähiverkkoon salatusti omalta kotikoneeltaan, ja foorumin palvelimelle näyttäisi, että viesti on lähetetty yrityksen verkosta.
    • WLAN eli langaton lähiverkko. Tietokoneet ovat usein yhteydessä langattomasti, ja laitteita voi olla paljon. Ei ole mitään kaapelia, jota seurata. Jos pukumiehemme on jättänyt WLAN:insa salaamatta, voisi naapuri käyttää hänen yhteyttään niin, että pukumiestä oltaisiin ensimmäisenä raastupaan viemässä.
    • Proxyt eli välityspalvelimet. Yhteyttä voidaan välittää erilaisten välityspalvelimien avulla tarvittaessa monen mutkan kautta. Ehkä miehen koneella onkin haittaohjelma, joka tekee hänen koneestaan välityspalvelimen miehen tietämättä ja pahis käyttää sitä viestiensä alkuperän salaamiseen?

    Tarkoituksenani on olla mahdollisimman kansantajuinen, mutta jos meni yli niin laita kommenttia. Esimerkkini ei ole täydellinen, mutta antanee jonkinlaista osviittaa kertoakseen, että IP-osoitteen tietäminen on ihan kiva alku, muttei missään nimessä vielä riittävä osoittamaan, kuka joutaa vankilaan.

    Lähetän uutisen kirjoittajalle palautetta asiasta, sillä olisi toivottavaa, ettei ihmisiä johdettaisi harhaan.