1 điểm bởi GN⁺ 2025-08-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một nhà cung cấp dịch vụ Internet (ISP) lớn của Đức gần đây đã thay đổi cách DNS hoạt động ngay sau khi công khai tổ chức nội bộ CUII
  • Do CUII không công bố danh sách website bị chặn, tác giả đã tạo một trang để kiểm tra liệu một website có bị chặn hay không
  • Các ISP bắt đầu hiển thị các website bị chặn trên DNS như thể chúng không tồn tại để che giấu việc chặn
  • Gần đây Telefonica đã chặn miền thử nghiệm của chính họ, sau đó truy cập trang của tác giả để kiểm tra khả năng phát hiện
  • Vì vậy Telefonica đã che giấu tín hiệu chặn, và kết quả là tính minh bạch và khả năng giám sát bị suy yếu

ISP Đức thao túng DNS liên quan đến danh sách chặn của CUII

Một trong những ISP tiêu biểu của Đức đã thay đổi cách DNS hoạt động ngay sau khi danh tính của tổ chức nội bộ (CUII) bị công khai
CUII (Trung tâm thanh toán bù trừ bản quyền Internet) là tổ chức quyết định việc một website có bị chặn hay không, và là một tổ chức tư nhân nơi các ISP lớn và chủ sở hữu bản quyền tự vận hành danh sách mà không có thẩm định pháp lý hay tính minh bạch
Vì CUII vận hành danh sách chặn một cách không công khai, tác giả đã phát triển một trang cho phép bất kỳ ai cũng có thể tra cứu các miền bị chặn (cuiiliste.de)
Bốn ISP lớn nhất của Đức là Telekom, Vodafone, 1&1 và Telefonica(o2) đều là một phần của CUII

Những sai sót lặp đi lặp lại của CUII và thay đổi trong cách chặn DNS

Gần đây, Netzpolitik.org đã đưa tin dựa trên thông tin do tác giả cung cấp về sai sót của CUII khi chặn cả những miền đã bị đóng cửa
Trước đây, khi DNS của ISP nhận yêu cầu tới một website bị chặn, nó sẽ chuyển hướng tới notice.cuii.info, nên rất dễ xác nhận việc chặn
Tuy nhiên, do CUII muốn giữ bí mật danh sách chặn, họ bắt đầu ngăn cách xác minh này hoạt động
Một số ISP ngụy trang các website bị chặn trên DNS như thể chúng hoàn toàn không tồn tại
Ngoại lệ là Telefonica(o2), vốn vẫn duy trì cách phản hồi bằng notice.cuii.info

Lưu lượng xác minh chặn miền phát sinh từ trang blog

Trên cuiiliste.de, bất kỳ ai cũng có thể kiểm tra liệu miền đã nhập có bị CUII chặn theo từng ISP hay không
Sau khi chặn miền thử nghiệm blau-sicherheit.info do Telefonica sở hữu, họ đã truy cập trang của tác giả từ mạng của mình để kiểm tra khả năng bị phát hiện
Công cụ của tác giả đã phát hiện chính xác rằng miền này bị CUII chặn

  • DNS của Telefonica phản hồi miền thử nghiệm ở trạng thái bị chặn
  • Truy cập website của tác giả từ mạng Telefonica
  • Phát hiện thành công tình trạng bị chặn

Telefonica chuyển cách chặn và nghi vấn cản trở trang của tác giả

Khoảng 2 giờ sau đó, Telefonica đã chuyển cách chặn DNS từ chuyển hướng notice.cuii.info sang phản hồi rằng miền đã nhập không tồn tại
Vì điều này, hệ thống của tác giả đã phát hiện nhầm hàng trăm trường hợp được gỡ chặn, buộc phải khẩn cấp sửa lỗi
Ngay cả sau khi vá, độ khó phát hiện chặn vẫn tăng lên
Hiện tại, để phân biệt với các trường hợp bị chặn vì lý do khác ngoài CUII (ví dụ liên quan đến khủng bố), tác giả đang đối chiếu chéo với danh sách các miền bị chặn không thuộc CUII

Vấn đề bối cảnh và suy giảm tính minh bạch

Những thay đổi này có thể được giải thích là nhằm né tránh giám sát và tính minh bạch đúng vào thời điểm CUII bị chỉ trích vì chặn không chính xác
Kết cục là quyền được biết của công chúng và hệ thống giám sát bị suy yếu, tạo ra một cấu trúc chỉ có lợi cho CUII và các ISP

Bài viết liên quan và liên kết tham khảo

1 bình luận

 
GN⁺ 2025-08-25
Ý kiến trên Hacker News
  • Ở Đức có một tổ chức tên là Clearingstelle Urheberrecht im Internet (CUII), một nhóm tư nhân liên quan đến bản quyền Internet, có quyền quyết định chặn website; đây là một cơ chế trong đó các ISP và những chủ sở hữu bản quyền lớn quyết định người dùng được xem gì mà không có thẩm phán hay tính minh bạch, nhưng theo trang chính thức của họ (cuii.info/en/about-us/) thì họ nói rằng họ “điều phối việc thực hiện các thủ tục chặn theo phán quyết của tòa án và thi hành lệnh của tòa”, tức có vẻ như chỉ làm theo lệnh tòa, nhưng chỉ riêng câu đó không có nghĩa là việc chặn các trang khác đã bị loại trừ
    • Bài blog đó được viết trước khi trang này thay đổi; trong phiên bản Web Archive có mô tả CUII là một cơ quan độc lập tại Đức, xem xét một cách công bằng tính hợp pháp của việc chặn các trang rõ ràng vi phạm bản quyền; khi có đơn yêu cầu, hội đồng xem xét chỉ khuyến nghị chặn DNS nếu nhất trí tuyệt đối rằng đó là “vi phạm bản quyền rõ ràng”, khuyến nghị này sẽ được gửi tới Cơ quan Mạng Liên bang Đức (BNetzA), sau khi BNetzA xem xét và không thấy vấn đề gì thì ISP sẽ nhận chỉ thị chặn; và trong bài blog mới của cùng tác giả nói về phiên bản gần đây, giờ họ cho biết chỉ điều phối việc chặn sau khi có lệnh tòa: “không còn bỏ phiếu bí mật, không còn kiểm duyệt doanh nghiệp; phiên bản website mới giải thích rằng chỉ thực thi các lệnh chặn hợp pháp”
    • Bài blog được viết vào tháng 2, và sau đó CUII đã chuyển từ cách để một nhóm nội bộ tùy ý chặn trước khi có lệnh tòa sang cách chỉ chặn nghiêm ngặt các tên miền có trong lệnh tòa; trước đây họ còn chặn không cần lệnh tòa với lý do là “các trường hợp tiền lệ tương tự”, nhưng sau khi bị cơ quan quản lý chỉ ra, giờ họ đã dừng việc chặn tùy tiện khi không có lệnh tòa
    • Câu chuyện này giống kiểu “ngày xưa chính trị tham nhũng hơn nhiều, bây giờ vẫn có nhưng trước đây còn tệ hơn”
    • Tiêu đề có thể gây hiểu nhầm; thực ra không phải DNS của trang tác giả bị chặn, mà là CUII tự chặn DNS trang của chính họ để tác giả thử nghiệm cách phát hiện blacklist DNS, rồi sau đó họ đổi chiến lược
  • Cần lưu ý rằng quy trình chặn của CUII hiện đã chuyển từ quyết định doanh nghiệp mang tính tùy tiện sang cơ chế dựa trên lệnh tòa blog liên quan
    • Điều đáng tiếc là các tên miền từng bị chặn trước đây vẫn còn nguyên
    • Theo bài viết vừa được liên kết, danh sách chặn có vấn đề hoặc mang tính ác ý hiện vẫn được giữ lại, chỉ là không bổ sung thêm mục mới
    • Không rõ làm sao biết được CUII thật sự đã từ bỏ, hay chỉ đang giả vờ từ bỏ sau khi tìm ra cách che giấu việc chặn để tránh bị giám sát
  • Ở phương Tây, kiểm duyệt theo truyền thống thường được thực hiện thông qua bản quyền; nếu lấy tiền bạc hay kinh doanh làm lý do thì người ta không xem đó là kiểm duyệt; nhưng ngày nay Mỹ ép buộc tự kiểm duyệt bằng sức mạnh và sự loại trừ của mình (ví dụ: bị bất lợi nếu đi ngược trong môi trường công vụ, bị hạn chế nhập cảnh vào Mỹ, v.v.), còn châu Âu thì tìm ra một cách khác; trong bối cảnh ai cũng muốn cả an ninh lẫn kiểm soát, giờ có cảm giác rằng chỉ còn giải pháp kỹ thuật là câu trả lời, còn cách tiếp cận pháp lý hay chính trị thì không hiệu quả; tự do đã trở thành một “mốt phù phiếm”, và ngay cả những người kêu gọi nó cuối cùng cũng chỉ muốn tự do cho riêng mình; thật mỉa mai khi có người nói phải đưa loài người ra vũ trụ nhưng lại tạo dáng cùng những người bị giam giữ chỉ vì “đi lại mà không có phép” trên Trái Đất; vì vậy nếu là kỹ sư quan tâm đến kiểm duyệt kiểu này thì cần công cụ mới thay cho website truyền thống, vì dòng chính cuối cùng vẫn sẽ bị kiểm soát theo ý của thế lực cầm quyền
    • Trước đây tôi muốn giải quyết bằng luật pháp, nhưng giờ lại đồng cảm với các giải pháp kỹ thuật; vào thập niên 90-00, khi tự do trong không gian thực bị thu hẹp, thế hệ trẻ từng tìm thấy lối thoát trên Internet; có một thời việc xây nhà hay khởi nghiệp thì khó, nhưng làm một website lại tương đối tự do; tuy nhiên bây giờ chính phủ và các bên lợi ích cũng can thiệp vào Internet nên sự tự do như trước đã không còn; nội dung AI, bot, khó tìm kiếm, xác minh là con người khiến Internet ngày càng ngột ngạt; vì vậy cảm thấy cần phải tạo ra những không gian mạng mới như freenet, yggdrasil, alfis, gemini, reticulum, B.A.T.M.A.N, và bản thân những thứ đó cũng khá thú vị; chính phủ cũng sẽ mất một thời gian mới theo kịp tới đó
    • Là người sống ở Mỹ, tôi không đồng cảm với xu hướng tự do hiện nay; tôi ủng hộ những nguyên tắc mà nước Mỹ từng hướng tới, hoặc ít nhất là mang ý định tốt; tôi ủng hộ từng cá nhân như cảnh sát hay quân nhân, nhưng không ủng hộ các mệnh lệnh mang tính độc đoán mà họ bị buộc phải thực thi; nhiều người nhập ngũ vì luật pháp, trật tự và để bảo vệ mọi người chứ không phải vì muốn làm điều xấu, nhưng cảm giác như cấu trúc hệ thống đang ép buộc họ; luật gerrymandering ở Texas đã được thông qua, và không thể chỉ trông chờ vào khả năng tự sửa sai; việc tiến ra vũ trụ vẫn đáng để thử miễn là không gây hại tới sự sống hay những không gian khác, vì mọi sự sống sớm muộn gì cũng cần di chuyển vì một lý do nào đó
    • Với lập luận rằng “chính website này cũng nói về kiểm duyệt, người quan tâm thì không nên dùng website, cần công cụ mới, dòng chính cuối cùng sẽ bị kiểm soát bởi thế lực cầm quyền”, tôi khó hình dung thực tế nó sẽ trông như thế nào; cũng có cảm giác là đã quá muộn rồi; việc xác thực thiết bị (device attestation) đang ngày càng bị áp đặt, và passkey cũng đang được triển khai rất nhanh; ta có thể tạo ra các giao thức thay thế, nhưng điều đó vẫn phụ thuộc vào việc các nhóm quyền lực có bỏ qua cho hay không; Signal, VPN, BitTorrent, Tor rồi cũng có thể một ngày nào đó bị chặn; cuối cùng nếu đa số dùng thiết bị do các Big Tech như Apple và Google kiểm soát thì bất kỳ giao thức nào cũng có thể trở nên vô dụng
    • Đây là một ý khá thú vị: kiểm duyệt thương mại được chấp nhận rộng rãi, nhưng kiểm duyệt vì “lợi ích công cộng” có lẽ về bản chất cũng không khác đến thế; kết cục là luôn có nguy cơ tự do bị xâm phạm quá mức
    • Với câu “ở phương Tây kiểm duyệt được thực hiện bằng quyền bản quyền, nếu là vì tiền và kinh doanh thì không bị coi là kiểm duyệt”, tôi thấy hai vế này mâu thuẫn nhau; kiểm duyệt thông qua bản quyền và việc khẳng định quyền lợi vì mục đích kinh doanh rốt cuộc trông vẫn là một, nên nói rằng theo truyền thống chỉ một trong hai thứ không bị coi là kiểm duyệt có vẻ không logic
  • Càng có nhiều kiểm duyệt thì càng có thêm động lực xây dựng các giao thức thật sự không thể bị kiểm duyệt, nơi ISP không thể can thiệp
    • Các giao thức hay phương án điều chỉnh kiểu này thực ra đã tồn tại, ví dụ DNSSEC theo từng site, DoT/DoH ở phía người dùng, nhờ đó có thể ngăn ISP giả mạo phản hồi một cách ác ý; chỉ là trên thực tế chúng chưa được dùng rộng rãi, và ISP vẫn có thể áp dụng các biện pháp kiểm duyệt khó lách hơn như kiểm tra SNI hoặc chặn IP
    • Cuối cùng mọi thứ vẫn phụ thuộc vào tầng mạng vật lý; ai kiểm soát tầng đó thì lúc nào cũng có thể chặn liên lạc; giao thức thực sự duy nhất mà ISP không thể động vào sẽ cần tới một đội quân khổng lồ, và còn phải tạo động lực để đội quân đó tự nó không phá hoại hệ thống
    • Ví dụ về các giao thức đã tồn tại: dùng router I2P để xây darknet, dùng Yggdrasil để xây Internet riêng phân tán thế hệ mới, hoặc đơn giản là dùng DNS mã hóa (Njalla DNS, Mullvad DNS), hay dùng VPN tốt (như Mullvad); đồng thời cũng nên song song bỏ phiếu cho các chính sách bảo vệ quyền riêng tư và gửi thư cho các nghị sĩ
    • Cũng có vấn đề là các giao thức thay thế rất khó được phổ biến rộng rãi trong thực chiến; trong thời bình, dùng các công cụ như vậy có thể khiến bạn trở thành “mục tiêu”; thường phải sau thảm họa hay biến cố lớn thì chúng mới được đại chúng chấp nhận
    • Nhiều kiểm duyệt hơn là lý do để bầu ra một chính phủ tốt hơn, chứ không phải chỉ đi tìm “cách lách”; chấp nhận chế độ độc đoán rồi chỉ lo cách vượt rào là một vấn đề
  • Các cách vượt chặn trên trang này chủ yếu khuyến nghị dùng resolver công cộng lớn; nếu tác giả có đọc HN thì sẽ hay nếu biết được 9.9.9.9, 1.1.1.1, và đặc biệt là dịch vụ DNS4EU đang chặn những tên miền nào
    • Có người phản hồi rằng đây là lần đầu tiên họ nghe tới DNS4EU, và chia sẻ link joindns4.eu/about
    • Cũng có người tò mò các nhà cung cấp DNS như dns4eu, nextdns dùng phần mềm máy chủ DNS nào (nsD, bind, v.v.), hay là họ tự phát triển
  • Với xu hướng ngày càng mạnh tay trong thực thi bản quyền hay săn torrent hiện nay, tôi thấy thắc mắc về quyết định của Proton chuyển sang Đức vì lý do liên quan đến hệ thống của Thụy Sĩ; việc vận hành trở nên khó khăn hơn vì quyền riêng tư thì có thể hiểu được, nhưng tại sao lại chọn Đức thì khá khó hiểu; tôi chưa xem kỹ chính xác dự luật mới của Thụy Sĩ là gì, nhưng nếu nó còn nghiêm ngặt hơn cả quy định của Đức thì không rõ là ở điểm nào; (tham khảo thêm là Mullvad đặt tại Thụy Điển)
    • Với tư cách người Thụy Sĩ, tôi chưa xem quá chi tiết nhưng được biết dự luật mới sẽ áp đặt nghĩa vụ lưu dữ liệu người dùng trong 6 tháng; tất nhiên điều đó không đáng hoan nghênh, nhưng EU còn tệ hơn vì liên tục đòi cài backdoor vào mã hóa; rốt cuộc, cách giải thích ở đây là quyết định của Proton chủ yếu do tiết kiệm chi phí, còn luật Thụy Sĩ chỉ là cái cớ
  • Nếu tên miền bị “tịch thu”, tôi tự hỏi liệu “chủ sở hữu” mới có trả phí gia hạn đăng ký không; nếu có thì nảy ra ý tưởng là đăng ký các bản sao của những tên miền bị chặn trên các vanity TLD có phí gia hạn cao, làm chúng nổi bật lên, rồi biết đâu kiếm được tiền
    • Trường hợp ở đây không phải tịch thu tên miền mà chỉ là chặn; họ chỉ sửa phản hồi nameserver trên máy chủ DNS mặc định của ISP; kể cả khi cảnh sát có tịch thu tên miền thì cũng giống tịch thu xe thuê vậy, họ sẽ không tự nhiên đi trả phí sử dụng thay cho bạn
    • Việc tịch thu tên miền có thể tốn kém hơn nhiều về mặt thủ tục, và việc chặn website thường không liên quan đến ICANN; chủ site vẫn giữ quyền sở hữu tên miền, chỉ là ISP thao túng kết quả truy vấn DNS nên việc vượt chặn khá dễ
    • Tôi cũng không nghĩ rằng chính phủ sẽ thực sự trả tiền ngay cả khi họ tịch thu tên miền
    • Sau bước 1 (tạo TLD), phần còn lại của ý tưởng có cảm giác hơi giống kiểu “vẽ cú rồi vẽ phần còn lại”
  • Đức thật sự rất lạc hậu trong các vấn đề kiểu này; những kỹ sư giỏi nên chuyển sang các quốc gia tự do hơn
    • Có người đáp lại rằng hãy định nghĩa xem “quốc gia tự do hơn” là ở đâu
    • Chuyện đó thực ra đã và đang xảy ra rồi
    • Cũng có ý kiến rằng nước Mỹ thời Trump đâu có phải là một thế giới tự do
  • Có người hỏi liệu kiểu kiểm duyệt này có thể dễ dàng bị vượt qua chỉ bằng cách dùng DNS công cộng như 8.8.8.8 hay không
    • Vận hành DNS resolver riêng như unbound cũng là một phương án thay thế