1 pontos por GN⁺ 2025-08-25 | 1 comentários | Compartilhar no WhatsApp
  • Um grande provedor de internet (ISP) da Alemanha recentemente alterou o funcionamento do DNS logo após a divulgação de sua organização interna, a CUII
  • A CUII não publica sua lista de bloqueio de sites, então o autor criou um site para verificar se um site foi bloqueado
  • Os ISPs passaram a ocultar o bloqueio fazendo com que sites bloqueados no DNS pareçam não existir
  • Recentemente, a Telefonica bloqueou seu próprio domínio de teste e depois visitou o site do autor para verificar se isso seria detectado
  • Como resposta, a Telefonica ocultou o sinal de bloqueio, enfraquecendo assim a transparência e a fiscalização

ISP alemão altera DNS por causa da lista de bloqueio da CUII

Um dos principais ISPs da Alemanha mudou o comportamento do DNS logo após a exposição pública de sua organização interna (CUII)
A CUII (Centro de Compensação de Direitos Autorais na Internet) decide sobre o bloqueio de sites e é uma organização privada na qual grandes ISPs e detentores de direitos administram a lista por conta própria, sem revisão legal nem transparência
Como a CUII mantém sua lista de bloqueio em sigilo, o autor desenvolveu um site para que qualquer pessoa possa consultar domínios bloqueados (cuiiliste.de)
Os quatro maiores ISPs da Alemanha — Telekom, Vodafone, 1&1 e Telefonica(o2) — fazem parte da CUII

Erros recorrentes da CUII e mudança no método de bloqueio por DNS

Recentemente, o Netzpolitik.org publicou, com base em informações fornecidas pelo autor, uma matéria sobre o erro da CUII bloquear até domínios já desativados
Antes, quando um site bloqueado era solicitado no DNS do ISP, havia um redirecionamento para notice.cuii.info, o que permitia confirmar facilmente o bloqueio
Mas a CUII começou a impedir esse método de verificação para manter a lista de bloqueio em segredo
Alguns ISPs passaram a fazer com que sites bloqueados no DNS parecessem simplesmente inexistentes
Como exceção, a Telefonica(o2) ainda mantinha o método de resposta com notice.cuii.info

Tráfego de verificação de bloqueio vindo do site do blog

No cuiiliste.de, qualquer pessoa pode verificar se o domínio informado foi bloqueado pela CUII em cada ISP
Depois de bloquear o domínio de teste blau-sicherheit.info, pertencente à Telefonica, a empresa acessou o site do autor a partir de sua própria rede para testar se a detecção era possível
A ferramenta do autor detectou corretamente que esse domínio havia sido bloqueado pela CUII

  • O DNS da Telefonica respondeu o domínio de teste como bloqueado
  • Houve acesso ao site do autor a partir da rede da Telefonica
  • A detecção do bloqueio foi bem-sucedida

Mudança no método de bloqueio da Telefonica e suspeita de interferência no site do autor

Cerca de 2 horas depois, a Telefonica mudou o método de bloqueio no DNS do redirecionamento para notice.cuii.info para uma resposta de domínio inexistente para o domínio consultado
Com isso, o sistema do autor detectou por engano a remoção de centenas de bloqueios, exigindo uma correção de emergência
Mesmo após o patch, a detecção de bloqueios ficou mais difícil
Agora, para diferenciar bloqueios da CUII de bloqueios por outros motivos (por exemplo, relacionados a terrorismo), o autor está fazendo validação cruzada com uma lista de domínios bloqueados fora da CUII

Contexto e enfraquecimento da transparência

Essa mudança pode ser explicada como uma tentativa de evitar fiscalização e transparência justamente quando a CUII vem sendo criticada por bloqueios imprecisos
No fim, isso enfraquece o direito do público à informação e os mecanismos de fiscalização, criando uma estrutura que beneficia apenas a CUII e os ISPs

Artigos relacionados e links de referência

1 comentários

 
GN⁺ 2025-08-25
Comentários do Hacker News
  • Na Alemanha existe uma organização chamada Clearingstelle Urheberrecht im Internet (CUII), um grupo privado ligado a direitos autorais na internet que decide bloqueios de sites; é uma estrutura em que ISPs e grandes detentores de direitos autorais decidem o que as pessoas podem ver, sem juiz nem transparência. Porém, segundo a página oficial deles (cuii.info/en/about-us/), eles afirmam que “coordenam a implementação de procedimentos judiciais de bloqueio e a execução de ordens judiciais”, ou seja, parece que seguem apenas ordens judiciais, mas essa formulação por si só não exclui o bloqueio de outros sites
    • Esse post de blog foi escrito antes de a página ser alterada. Na versão arquivada na web, a CUII é descrita como um órgão independente na Alemanha que analisa de forma imparcial se o bloqueio de sites claramente infratores de direitos autorais é legal. Quando há uma solicitação, um comitê de revisão recomenda bloqueio por DNS apenas se houver unanimidade de que se trata de uma “infração clara de direitos autorais”, e essa recomendação é enviada à agência federal de redes da Alemanha (BNetzA). Após a análise da BNetzA, se não houver problema, os ISPs recebem a instrução de bloquear. E, em um novo post de blog do mesmo autor sobre a versão recente, ele diz que agora a CUII apenas coordena bloqueios após ordens judiciais: “não há mais votação secreta nem censura corporativa; a nova versão do site explica que apenas ordens legais de bloqueio são implementadas”
    • O post do blog foi escrito em fevereiro e, depois disso, a CUII passou de um modelo em que um grupo interno bloqueava arbitrariamente até a chegada de uma ordem judicial para um modelo em que bloqueia estritamente apenas os domínios incluídos em ordens judiciais. Antes, bloqueava mesmo sem ordem judicial alegando “casos anteriores semelhantes”, mas, após questionamentos do regulador, interrompeu esses bloqueios arbitrários sem ordem judicial
    • É meio como dizer “antes havia muita corrupção na política; ainda há, mas antes era pior”
    • O título é enganoso: na prática, não bloquearam o DNS do site da autora; a própria CUII bloqueou o DNS do próprio site para testar como a autora detectava a lista negra de DNS, e depois mudou de estratégia
  • Vale observar que o processo de bloqueio da CUII agora deixou de ser uma decisão corporativa arbitrária e passou a se basear em ordens judiciais blog relacionado
    • O lado frustrante é que os domínios bloqueados anteriormente continuam lá
    • Segundo o artigo linkado acima, a atual lista problemática (maliciosa) de bloqueios ainda é mantida, só que não recebe novas adições
    • Fico me perguntando como saber se a CUII realmente desistiu, ou se apenas encontrou uma forma de ocultar os bloqueios para escapar da fiscalização e fingir que desistiu
  • No Ocidente, tradicionalmente a censura tem sido feita por meio de direitos autorais; se for justificada por dinheiro ou negócios, não é vista como censura. Mas hoje os EUA impõem autocensura por meio de poder e exclusão (por exemplo: prejuízos em cargos públicos se você se desalinhar, restrições de entrada nos EUA etc.), e a Europa encontrou outro caminho. Como todos querem segurança e controle ao mesmo tempo, parece que agora só soluções técnicas podem resolver; abordagens legais e políticas não funcionam. A liberdade virou uma “moda vazia”, e até quem a defende no fim quer apenas liberdade para si mesmo. Há uma ironia em alguém dizer que a humanidade deve ir para o espaço e ao mesmo tempo posar com pessoas detidas por terem “viajado sem permissão” na Terra. Então, para quem se interessa por tecnologia contra censura, são necessárias novas ferramentas em vez de sites tradicionais; o mainstream inevitavelmente acabará controlado como os grupos dominantes quiserem
    • Eu costumava querer resolver isso pela lei, mas agora simpatizo com soluções técnicas. Nos anos 90 e 2000, quando a liberdade encolhia no mundo físico, a geração mais jovem encontrou uma válvula de escape na internet. Construir uma casa ou abrir uma empresa era difícil, mas houve um tempo em que criar um site era relativamente livre. Agora, porém, governos e grupos de interesse também intervieram na internet, e aquela liberdade de antes desapareceu. Com conteúdo de IA, bots, dificuldade de busca e verificação de humanidade, a internet está ficando cada vez mais sufocante. Por isso sinto necessidade de criar novos espaços de rede como freenet, yggdrasil, alfis, gemini, reticulum e B.A.T.M.A.N; além disso, esses lugares também são divertidos. E o governo ainda levará um tempo para chegar até lá
    • Moro nos EUA e não concordo com a direção atual da liberdade. Eu apoio os princípios que os EUA defendiam — ou pelo menos os de boa intenção. Defendo policiais, militares e outros indivíduos, mas não apoio as ordens autoritárias que eles são obrigados a executar. Muita gente entrou nisso por lei, ordem e proteção de todos, não porque queria fazer coisas ruins, mas parece que a estrutura impõe isso. A lei de gerrymandering do Texas foi aprovada, e não dá para contar apenas com autocorreção. Acho que explorar o espaço vale a tentativa, desde que não prejudique a vida nem outros espaços; toda vida eventualmente precisa se mover por algum motivo
    • À afirmação de que “este próprio site é sobre censura, quem se importa não deveria usar sites, precisamos de novas ferramentas, o mainstream acabará controlado pelos grupos dominantes”, eu não consigo imaginar muito bem como isso seria na prática. Também parece que já é tarde demais. A autenticação de dispositivo (device attestation) está sendo cada vez mais imposta, e passkeys também estão sendo adotadas rapidamente. Dá para criar alternativas de protocolo, mas isso depende da tolerância dos grupos de poder. Signal, VPN, BitTorrent e Tor também podem ser bloqueados um dia. No fim, se a maioria usar dispositivos controlados por big techs como Apple e Google, talvez nenhum protocolo sirva de muita coisa
    • É interessante pensar que a censura comercial é amplamente aceita, mas a censura “pelo bem público” talvez não seja tão diferente em essência; no fim, sempre existe o risco de a liberdade ser restringida em excesso
    • Sobre a frase “no Ocidente a censura era feita por meio de direitos autorais; se fosse por dinheiro e negócios, não era considerada censura”, me parece que as duas sentenças entram em conflito. Censura via direitos autorais e reivindicação de direitos com objetivo comercial no fim parecem a mesma coisa. Dizer que tradicionalmente só uma delas não era considerada censura soa como contradição lógica
  • Quanto mais censura houver, maior será o incentivo para construir protocolos realmente impossíveis de censurar, fora do alcance dos ISPs
    • Esses protocolos ou revisões já existem, por exemplo: DNSSEC por site, DoT/DoH no lado do usuário, o que impede que o ISP manipule respostas de forma maliciosa. O problema é que, na prática, isso ainda não é amplamente usado, e o ISP pode adotar meios de censura mais difíceis de contornar, como inspeção de SNI ou bloqueio por IP
    • No fim, tudo depende da camada física da rede. Quem controla essa camada pode bloquear comunicações a qualquer momento. O único protocolo realmente imune ao toque do ISP exigiria um exército gigantesco, e ainda seria preciso motivá-lo a não atrapalhar por conta própria
    • Como exemplos de protocolos já existentes: montar uma dark net com um roteador I2P, criar uma internet privada distribuída de próxima geração com Yggdrasil, ou simplesmente usar DNS criptografado (Njalla DNS, Mullvad DNS) ou uma boa VPN (como Mullvad). Ao mesmo tempo, também é preciso votar em políticas que preservem a privacidade e escrever para parlamentares
    • Há também o problema de que protocolos alternativos dificilmente conseguem adoção ampla no mundo real. Em tempos normais, usar essas ferramentas pode até fazer de você um “alvo”. Em geral, só passam a ser adotadas em massa depois de desastres ou grandes catástrofes
    • Mais censura é justamente um motivo para eleger governos melhores, e não apenas procurar formas de contornar. Aceitar a ditadura enquanto se busca só o atalho é um problema
  • As formas de contorno nesta página recomendam principalmente o uso de grandes resolvers públicos. (Se a autora vir o HN,) seria bom saber quais domínios estão sendo bloqueados por 9.9.9.9, 1.1.1.1 e especialmente pelo serviço DNS4EU
    • Reação de que nunca tinha ouvido falar do DNS4EU, com compartilhamento do link joindns4.eu/about
    • Fico curioso sobre qual software de servidor DNS (nsD, bind etc.) provedores de DNS como dns4eu e nextdns usam, ou se desenvolveram algo próprio
  • Com o endurecimento recente da repressão a direitos autorais e da caça a torrents, fiquei curioso sobre a decisão da Proton de se mudar da Suíça para a Alemanha por causa do sistema suíço. Entendo que operar com privacidade esteja ficando difícil, mas queria saber por que escolheram a Alemanha. Não examinei em detalhe qual é exatamente a nova proposta de lei suíça, mas, se ela for pior do que a regulação alemã, em que sentido isso acontece? (Aliás, a Mullvad fica na Suécia)
    • Como suíço, não olhei isso em detalhe, mas pelo que sei a nova lei vai exigir retenção de dados de usuários por 6 meses. Claro que isso não é nada bem-vindo, mas a UE continua exigindo backdoors em criptografia, o que é ainda pior. No fim, interpreto a decisão da Proton muito mais como redução de custos, e a lei suíça como pretexto
  • Quando um domínio é “confiscado”, fico curioso se o novo “proprietário” paga a taxa de renovação do registro. Se pagar: talvez desse para registrar cópias de sites bloqueados em Vanity TLDs com renovação cara, fazer isso ganhar atenção e lucrar com isso
    • Aqui a estrutura não é de confisco de domínio, e sim apenas de bloqueio. O que acontece é manipulação da resposta do servidor de nomes no DNS padrão do ISP. Mesmo que a polícia confiscasse um domínio, não faria sentido eles pagarem por ele, assim como não pagariam o aluguel de um carro apreendido
    • O confisco de domínio pode envolver mais custo processual, e normalmente bloqueio de site não tem relação com a ICANN; o operador do site continua sendo dono do domínio. O ISP apenas manipula o resultado da consulta DNS, então é fácil contornar
    • Não acho que governos de fato paguem quando confiscam domínios
    • Depois da etapa 1 (criar uma TLD), o resto da ideia parece meio “desenhe o resto da coruja”
  • A Alemanha é bem atrasada nesse tipo de questão; engenheiros talentosos deveriam emigrar para países mais livres
    • Resposta pedindo que se defina quais seriam esses países mais livres
    • Isso já está acontecendo
    • Opinião de que os EUA da era Trump também não são exatamente um mundo livre
  • Pergunta se esse tipo de censura pode ser facilmente contornado apenas usando DNS público como 8.8.8.8
    • Operar seu próprio resolvedor DNS, como unbound, também é uma alternativa