Sistema di prevenzione delle attività illegali (pedopornografia, crudeltà verso gli animali, ...)

È un argomento molto delicato che richiede una soluzione da parte nostra. Ho pochi server che affitto a poche persone. Ho tutte le autorizzazioni e i diritti legali per eseguire la scansione sui server.

Voglio impedire alle persone di archiviare pornografia infantile, crudeltà sugli animali o altri video di natura simile. La prima priorità è quella di essere in grado di prevenire la pornografia infantile poiché è il problema più delicato.

Ho provato a cercare soluzioni online ma non sono riuscito a trovare molte persone a discutere di questo problema, credo principalmente perché è considerato argomento di discussione Taboo.

Uno dei miei pensieri era di cercare nei server le firme di file noti. Esiste un database del genere da qualche parte?

So che le grandi aziende come GoDaddy hanno un tale sistema di prevenzione, ma come proprietario di una piccola azienda cosa posso fare?

security datacenter

— user2253741
fonte

Penso che non puoi trovare una "risposta" perché non ci sono mezzi tecnici per impedire quel tipo di attività. Conosci chi sono i tuoi inquilini e sii pronto ad agire quando ricevi warrant, citazioni in giudizio, ecc. Anche se "impedisci" l'archiviazione dei file negli Stati Uniti, almeno, hai il dovere di denunciare i trasgressori quando si tratta di pornografia infantile.

— Evan Anderson,

Sei sicuro di volerlo fare? Se scansionate attivamente i contenuti, credo che, almeno negli Stati Uniti, perdiate le vostre protezioni di sicurezza, cioè diventate responsabili per i contenuti che ospitate. Dovresti davvero verificare con un avvocato.

— Zoredache,

Noleggiate questi server per l' hosting ? Solo se i server ospitano materiali di accesso pubblico, questi contengono tali materiali in testo semplice. Se i server memorizzano solo il materiale, gli utenti possono eludere tutti i tentativi di rilevamento archiviandoli in forma crittografata. Non puoi nemmeno dire cos'è un file immagine e cosa no.

— Kaz,

Sei ingenuo se pensi che la gente ospiterà pornografia infantile su Clearnet. La maggior parte dei siti Web e dei webhost con cpanel mantiene registri del traffico web con indirizzi IP. È tutto su darknet. So come accedere al pornografia infantile in 30 secondi. Inoltre, posso vedere gli animali massacrati e le persone linciate su YouTube, così come altre attività illecite e illegali (anche su altri siti Web).

— desbest

@desbest Bene, l'ultimo grande arresto del CP di cui ho letto su Wired (l'anno scorso qualche volta), hanno catturato oltre 100 persone negli Stati Uniti per aver scaricato CP su eMule (o uno di quei servizi di condivisione di file P2P che non è BitTorrent). Sooo .... sembra che i criminali siano abbastanza stupidi da fare questo genere di cose su Clearnet. Beh, almeno alcuni di loro lo sono.

— HopelessN00b,

Risposte:

Esistono vari programmi governativi e di settore che forniranno hash di materiale "noto male" (ad es. CP) ai fornitori di hosting. È quindi possibile eseguire l'hashing dei file sui server e confrontarli. Di seguito sono alcuni che conosco:

HashKeeper
Fuori produzione, gestito dal DoJ statunitense
http://www.nsrl.nist.gov/RDS/rds_2.44/Hashkeeper-RDS244-split.zip
DCMEC HVSI
Gestito da Missing Kids senza scopo di lucro
http://www.missingkids.com/Exploitation/Industry
NIST NSRL
Hash per file software, principalmente per evitare la pirateria del software
http://www.nsrl.nist.gov/Downloads.htm

Altre note:

Verrà chiamato "CP" ovunque per evitare di usare il termine attuale. È quel tabù.
La legge negli Stati Uniti è molto ragionevole quando si tratta di ritenere i fornitori di servizi responsabili di ciò che i loro clienti mettono sui loro server. Fare sforzi minimi per prevenire gli abusi, comunicare la politica di abuso agli utenti e disporre di procedure per far fronte alle violazioni della politica.
CP è "sensibile" quanto più diventa. Assicurati che la tua risposta includa immediatamente il contatto con le autorità in caso di violazioni del CP note. Non manomettere i dati o il server, contatta prima le autorità. Le autorità ti consiglieranno quali passi dovresti seguire da lì.

— Chris S
fonte

3.5. Non discutere della situazione con nessuno al di fuori dei canali che coinvolgono le autorità. Immediatamente significa immediatamente. Non cercare di far valere le cose da solo.

— squillman,

@squillman Perché no? Il pornografia infantile non è una pistola carica in faccia! "Sembra che ci sia pornografia infantile sul server in tali e tali directory e file. Ho messo la scatola offline. Solo io e te lo sappiamo. Per favore, occupati di questo e fammi sapere." Sembra abbastanza semplice. Non trascinare lo stato di polizia sui propri clienti; potrebbero essere innocenti. Come fai a sapere che la scatola non è stata hackerata in modo tale da essere implicitamente erroneamente implicata? Distruggerà anche i tuoi affari; il tuo server verrà probabilmente sequestrato anche se non hai fatto nulla.

— Kaz,

@Kaz Non sto dicendo che sto necessariamente accusando il cliente. Lascia che le autorità lo risolvano. Nel trattare questo problema in passato, mi è stato consigliato tramite i canali legali (qui negli Stati Uniti) di non discutere della situazione. In caso di CP, sto sicuramente trascinando le autorità a fine conversazione. Non mi interessa chi è sulla mia scatola.

— Squillman,

@Kaz Non funziona così ... Le autorità devono indagare e determinare chi è innocente. In diverse giurisdizioni puoi essere accessorio al crimine per azioni come quelle.

— Jacob,

Aggiungerò il consiglio che viene spesso dato così generosamente: contattare un avvocato. Subito. Prima di contattare le autorità.

— Marcks Thomas,

Oltre alla risposta di Chris su CP, vorrei sottolineare che il modo in cui i grandi gestiscono questo è:

Utilizzo di database contenenti valori hash di materiale noto non valido
- Questa non è nemmeno una soluzione particolarmente efficace, perché il minimo cambiamento cambia l'hash
- Generalmente, o spesso manterranno il proprio database, oltre a quelli accessibili al pubblico
Segnalazione da parte degli utenti
- Sotto forma di contatti e-mail ( abuse@whatever.tld)
- Link di segnalazione per siti con contatto generato dall'utente ( click here to report this)
Pagare esseri umani reali per rivedere i contenuti o autorizzare i contenuti prima che vengano caricati
- La MPAA e la RIAA, ad esempio, impiegano dozzine di persone per setacciare il web per i loro materiali protetti da copyright

Quindi, per te, ciò significa sostanzialmente che non ci sarà un ottimo modo per filtrare materiale discutibile che non sia illegale, perché il materiale discutibile deve essere identificato da una persona. La maggior parte di ciò che viene identificato non trova mai la sua strada nel database accessibile pubblicamente e persino ciò che lo fa viene facilmente modificato per aggirare i controlli hash. Quindi la linea di fondo è che non puoi davvero prevenire questo tipo di comportamento, e tutto ciò che puoi fare è reagire una volta che succede.

E tieni presente che se inizi a scansionare il contenuto per un tipo di materiale discutibile, dovrai scansionare per altri tipi. La legge varia da luogo a luogo, ovviamente, ma se stai cercando CP, video di crudeltà sugli animali, ecc., Ma non cerchi supporti piratati, se qualcuno usa il tuo server per ospitare materiale protetto da copyright, fare fatica a evitare la responsabilità per questo. Quindi ... beh, niente è mai semplice, vero?

— HopelessN00b
fonte

Sfortunatamente, sebbene esistano gli hashlist di Chris S, sono inutili. Il seguente comando modificherà l'hash di un file ma lo lascerà completamente riproducibile:

$ echo '0' >> pornfile.mp4

La verità è che molte aziende che si occupano principalmente di video caricati dagli utenti hanno che gli umani esaminano ogni singolo file . Vedere questa domanda correlata per le conseguenze! Pertanto, se la tua attività principale è il video caricato dall'utente, consiglio vivamente che la tua azienda installi un tale sistema di revisione umana.

— dotancohen
fonte

1. Potresti essere sorpreso dall'analfabetismo tecnologico delle persone che raccolgono e distribuiscono CP. Gli elenchi di hash sono ancora un ottimo tripwire per tali attività. 2. Le leggi variano in base al Paese, tutti devono ricordare che si tratta di un sito globale. Negli Stati Uniti la revisione di tutti i file come te suggerisce generalmente di perdere DMCA Safe-Harbor, quindi farlo è incredibilmente raro qui. Sembra che sia molto comune in altri paesi.

— Chris S,

@ChrisS: Grazie per la comprensione, in particolare per quanto riguarda il DMCA. Trovo inquietante che la legge proibisca implicitamente alle aziende di cercare tale materiale. Mi chiedo come gli Stati Uniti siano arrivati al punto in cui, a causa degli aspetti tecnici della legge, le aziende sono scoraggiate dalla ricerca di CP per paura di esporsi a violare i diritti di proprietà intellettuale.

— dotancohen,

Il problema è che il DMCA offre alle persone una carta senza jail se non hanno idea del contenuto del loro server. Una volta che lo hai guardato non puoi affermare di non sapere cosa fosse. La RIAA e la MPAA hanno scritto la legge, non i politici e certamente non con i migliori interessi delle persone in mente.

— Chris S,

Questa non è una peculiarità americana. La direttiva sul commercio elettronico dell'UE ha disposizioni simili. Protegge i fornitori da ogni tipo di responsabilità, non solo dai reclami per violazione del copyright. Un fornitore può legittimamente sostenere: non so cosa caricano i miei utenti e non è compito mio verificare. I fornitori sono comunque tenuti ad agire in caso di conoscenza di illeciti, ad esempio se notificati da terzi. Sono in chiaro fintanto che rimuovono i contenuti discutibili nel processo di revisione, ma a causa del rischio di sbagliarli, essere in grado di mantenere l'ignoranza è più sicuro.

— Marcks Thomas,

Capisco la sfumatura. Sono solo spaventato dal fatto che la legge scoraggi uno dall'eseguire un controllo semplice ed economico is_cp(filename)perché ciò implica che potrebbe eseguire un controllo complicato e costoso is_copyrighted(filename).

— dotancohen,