Système de prévention des activités illégales (pédopornographie, cruauté envers les animaux,…)

29

C'est un sujet très sensible qui nécessite une solution de notre part. J'ai quelques serveurs que je loue à peu de gens. J'ai toutes les autorisations et tous les droits légaux pour analyser les serveurs.

Je veux empêcher les gens de stocker de la pornographie juvénile, de la cruauté envers les animaux ou d'autres vidéos de même nature. La première priorité est de pouvoir prévenir la pornographie enfantine car c'est la question la plus sensible.

J'ai essayé de rechercher des solutions en ligne, mais je n'ai pas pu trouver beaucoup de personnes discutant même de ce problème, je crois principalement parce qu'il est considéré comme un sujet de discussion tabou.

Une de mes pensées était de rechercher sur les serveurs des signatures de fichiers connus. Existe-t-il une telle base de données quelque part?

Je sais que les grandes entreprises comme GoDaddy ont un tel système de prévention, mais en tant que propriétaire d'une petite entreprise, que puis-je faire?

security datacenter user2253741
la source
17
Je pense que vous ne pouvez pas trouver de "réponse" car il n'y a pas de moyens techniques pour empêcher ce genre d'activité. Sachez qui sont vos locataires et soyez prêt à agir lorsque vous recevez des mandats, des assignations à comparaître, etc. pornographie juvénile.
Evan Anderson
11
Es-tu sûr de vouloir faire ça? Si vous analysez activement du contenu, je pense qu'au moins aux États-Unis, vous perdez vos protections de refuge, c'est-à-dire que vous devenez responsable du contenu que vous hébergez. Vous devriez vraiment consulter un avocat.
Zoredache
1
Louez-vous ces serveurs pour l' hébergement ? Ce n'est que si les serveurs hébergent des documents accessibles au public que ces documents seront en texte brut. Si les serveurs ne stockent que le matériel, les utilisateurs peuvent échapper à toutes vos tentatives de détection en les stockant sous forme cryptée. Vous ne pouvez même pas dire ce qu'est un fichier image et ce qui ne l'est pas.
Kaz
5
Vous êtes naïf si vous pensez que les gens vont héberger de la pornographie juvénile sur le clearnet. La plupart des sites Web et des hébergeurs avec cpanel tiennent des journaux du trafic Web avec des adresses IP. Tout est sur le darknet. Je sais comment accéder à la pornographie juvénile en 30 secondes. Je peux également regarder des animaux abattus et des gens se lyncher sur YouTube, ainsi que d'autres activités sanglantes et illégales (même sur d'autres sites Web).
desbest
3
@desbest Eh bien, le dernier gros buste CP que j'ai lu sur Wired (l'année dernière parfois), ils ont attiré plus de 100 personnes aux États-Unis pour avoir téléchargé CP sur eMule (ou l'un de ces services de partage de fichiers P2P qui n'est pas BitTorrent). Sooo .... semble que les criminels soient en fait assez stupides pour faire ce genre de chose sur clearnet. Eh bien, certains d'entre eux le sont au moins.
HopelessN00b

Réponses:

40

Il existe divers programmes du gouvernement et de l'industrie qui fourniront aux fournisseurs d'hébergement des hachages de "mauvais éléments connus" (par exemple CP). Vous pouvez ensuite hacher les fichiers sur vos serveurs et comparer. Voici quelques-uns que je connais:

  1. HashKeeper
    Discontinued, géré par le DoJ américain
    http://www.nsrl.nist.gov/RDS/rds_2.44/Hashkeeper-RDS244-split.zip
  2. DCMEC HVSI géré
    par les enfants disparus à but non lucratif
    http://www.missingkids.com/Exploitation/Industry
  3. NIST NSRL
    Hash pour les fichiers logiciels, principalement pour éviter le piratage de logiciels
    http://www.nsrl.nist.gov/Downloads.htm

Autres notes:

  1. Cela va s'appeler "CP" partout pour éviter d'utiliser le terme réel. C'est ce tabou.
  2. Aux États-Unis, la loi est très raisonnable lorsqu'il s'agit de tenir les fournisseurs de services responsables de ce que leurs clients mettent sur leurs serveurs. Faites des efforts minimes pour prévenir les abus, communiquez la politique d'abus aux utilisateurs et disposez de procédures pour traiter les violations de politique.
  3. Le CP est à peu près aussi "sensible" que possible. Assurez-vous que votre réponse inclut de contacter les autorités immédiatement en cas de violation connue du CP - ne modifiez pas les données ou le serveur, contactez d'abord les autorités. Les autorités vous indiqueront les étapes à suivre à partir de là.
Chris S
la source
8
3.5. Ne discutez pas de la situation avec quiconque en dehors des canaux impliquant les autorités. Immédiatement signifie immédiatement. N'essayez pas d'appliquer les choses par vous-même.
squillman
6
@squillman Pourquoi pas? La pornographie juvénile n'est pas une arme chargée dans votre visage! "Il semble qu'il y ait de la pornographie juvénile sur le serveur dans tels ou tels répertoires et fichiers. J'ai mis la boîte hors ligne. Seuls vous et moi le savons. Cela semble assez simple. Ne traînez pas l'État policier sur vos propres clients; ils pourraient être innocents. Comment savez-vous que la boîte n'a pas été piratée afin d'être impliquée à tort? Ça va aussi perturber votre entreprise; votre serveur sera probablement saisi même si vous n'avez rien fait.
Kaz
7
@Kaz Je ne dis pas que j'accuse nécessairement le client. Laissez les autorités régler cela. Dans le passé, il m'a été conseillé par les voies légales (ici aux États-Unis) de ne pas discuter de la situation. Dans les cas de PC, je traîne certainement les autorités en fin de conversation. Je me fiche de qui est sur ma boîte.
squillman
8
@Kaz Ce n'est pas comme ça que ça fonctionne ... Les autorités doivent enquêter et déterminer qui est innocent. Dans plusieurs juridictions, vous pouvez être complice du crime pour des actions comme celles-ci.
Jacob
7
J'ajouterai le conseil qui est souvent si généreusement donné: contactez un avocat. Immédiatement. Avant de contacter les autorités.
Marcks Thomas
17

En plus de la réponse de Chris au sujet de CP, je voudrais souligner que la façon dont les gros gars gèrent cela est:

  1. Utilisation de bases de données contenant des valeurs hachées de mauvais matériel connu
    • Ce n'est même pas une solution particulièrement efficace, car le moindre changement modifie le hachage
    • Ils gèreront généralement, ou maintiendront souvent leur propre base de données, en plus de celles accessibles au public
  2. Rapports des utilisateurs
    • Sous forme de contacts e-mail ( [email protected])
    • Liens de rapport pour les sites avec un contact généré par l'utilisateur ( click here to report this)
  3. Payer de véritables êtres humains pour examiner le contenu ou autoriser le contenu avant son téléchargement
    • La MPAA et la RIAA, par exemple, emploient des dizaines de personnes pour parcourir le Web à la recherche de leurs documents protégés par le droit d'auteur

Donc, pour vous, cela signifie essentiellement qu'il n'y aura pas un excellent moyen pour vous de filtrer le matériel répréhensible qui n'est pas illégal, car le matériel répréhensible doit être identifié par une personne. La plupart de ce qui est identifié ne se retrouve jamais dans une base de données accessible au public, et même ce qui le fait est assez facilement modifié pour contourner les contrôles de hachage. Donc, l'essentiel est que vous ne pouvez pas vraiment empêcher ce type de comportement, et tout ce que vous pouvez faire est de réagir une fois que cela se produit.

Et sachez que si vous commencez à analyser le contenu pour un type de matériel répréhensible, vous devrez rechercher d'autres types. La loi varie d'un endroit à l'autre, bien sûr, mais si vous recherchez des CP, des vidéos sur la cruauté envers les animaux, etc., mais ne recherchez pas de médias piratés, si quelqu'un utilise votre serveur pour héberger des documents protégés par des droits d'auteur, vous ont du mal à éviter la responsabilité pour cela. Alors ... eh bien, rien n'est jamais simple, n'est-ce pas?

HopelessN00b
la source
4

Malheureusement, bien que, comme Chris S l'a mentionné, les listes de contrôle existent, elles sont inutiles. La commande suivante changera le hachage d'un fichier mais le laissera complètement jouable:

$ echo '0' >> pornfile.mp4

La vérité est que de nombreuses entreprises qui s'occupent principalement de vidéos téléchargées par des utilisateurs demandent à des humains d'examiner chaque fichier . Voir cette question connexe pour les conséquences! Par conséquent, si votre activité principale est la vidéo mise en ligne par les utilisateurs, je recommande fortement à votre entreprise d'installer un tel système d'évaluation humaine.

dotancohen
la source
3
1. Vous pourriez être surpris par l'analphabétisme technologique des personnes qui collectent et distribuent le CP. Les listes de hachage sont toujours un excellent fil conducteur pour de telles activités. 2. Les lois varient selon les pays, chacun doit se rappeler qu'il s'agit d'un site mondial. Aux États-Unis, l'examen de tous les fichiers comme vous le suggérez perd généralement DMCA Safe-Harbor - ce qui est incroyablement rare ici. On dirait que c'est très courant dans d'autres pays.
Chris S
1
@ChrisS: Merci pour la perspicacité, en particulier concernant le DMCA. Je trouve inquiétant que la loi interdise implicitement aux entreprises de rechercher de tels documents. Je me demande comment les États-Unis en sont arrivés au point où, en raison des détails techniques de la loi, les entreprises sont découragées de rechercher le CP par crainte de s'exposer à des atteintes aux droits de propriété intellectuelle.
dotancohen
4
Le problème est que le DMCA donne aux gens une carte sans sortie de prison s'ils n'ont aucune idée du contenu de leur serveur. Une fois que vous l'avez regardé, vous ne pouvez pas affirmer que vous ne saviez pas ce que c'était. La RIAA et la MPAA ont écrit la loi, pas les politiciens et certainement pas dans le meilleur intérêt des gens.
Chris S
3
Ce n'est pas une particularité américaine. La directive de l'UE sur le commerce électronique contient des dispositions similaires. Il protège les fournisseurs de toutes sortes de responsabilités, pas seulement des réclamations pour violation de droit d'auteur. Un fournisseur peut légitimement argumenter: je ne sais pas ce que mes utilisateurs téléchargent et ce n'est pas mon travail de vérifier. Les prestataires sont toujours tenus de prendre connaissance des actes répréhensibles, par exemple lorsqu'ils sont notifiés par un tiers. Ils sont clairs tant qu'ils suppriment le contenu douteux dans le processus d'examen, mais en raison du risque de se tromper, il est plus sûr de maintenir l'ignorance.
Marcks Thomas
1
Je comprends la nuance. Je suis simplement consterné que la loi décourage quelqu'un de faire un is_cp(filename)chèque simple et peu coûteux , car cela implique qu'il pourrait faire un is_copyrighted(filename)chèque compliqué et coûteux .
dotancohen