Sistema de prevenção de atividades ilegais (pornografia infantil, crueldade contra animais, ...)

29

É um tópico muito sensível que requer uma solução do nosso lado. Eu tenho poucos servidores que alugo para poucas pessoas. Eu tenho todas as permissões e direitos legais para verificar os servidores.

Quero impedir que as pessoas armazenem pornografia infantil, crueldade com animais ou outros vídeos de natureza semelhante. A primeira prioridade é evitar a pornografia infantil, pois é a questão mais delicada.

Tentei pesquisar online por soluções, mas não consegui encontrar muitas pessoas sequer discutindo sobre esse assunto, acredito principalmente porque é considerado um tópico tabu da discussão.

Um dos meus pensamentos era procurar nos servidores por assinaturas de arquivos conhecidos. Existe esse banco de dados em algum lugar?

Sei que grandes empresas como a GoDaddy possuem esse sistema de prevenção, mas como proprietário de uma pequena empresa, o que posso fazer?

security datacenter user2253741
fonte
17
Acho que você não consegue encontrar uma "resposta" porque não há meios técnicos para impedir esse tipo de atividade. Saiba quem são seus inquilinos e esteja preparado para agir quando você receber mandados, intimações, etc. pornografia infantil.
Evan Anderson
11
Você tem certeza de que quer fazer isso? Se você digitaliza ativamente o conteúdo, acredito que, pelo menos nos EUA, você perde suas proteções de porto seguro, ou seja, você se torna responsável pelo conteúdo hospedado. Você realmente deve consultar um advogado.
precisa
11
Você aluga esses servidores para hospedagem ? Somente se os servidores estiverem hospedando materiais para acesso público, eles serão contidos em texto sem formatação. Se os servidores armazenarem apenas o material, os usuários poderão evitar todas as suas tentativas de detecção, armazenando na forma criptografada. Você não pode nem dizer o que é um arquivo de imagem e o que não é.
Kaz
5
Você é ingênuo se acha que as pessoas vão hospedar pornografia infantil no clearnet. A maioria dos sites e webhosts com cpanel mantém registros do tráfego da web com endereços IP. Está tudo na darknet. Eu sei como acessar pornografia infantil em 30 segundos. Também posso ver animais sendo abatidos e pessoas sendo linchadas no YouTube, além de outras atividades ilegais e sangrentas (mesmo em outros sites).
desbest
3
@desbest Bem, o último grande fracasso de CP que eu li na Wired (no ano passado), eles prenderam mais de 100 pessoas nos EUA por baixarem o CP no eMule (ou um daqueles serviços de compartilhamento de arquivos P2P que não é o BitTorrent). Sooo .... parece que os criminosos são realmente burros o suficiente para fazer esse tipo de coisa no clearnet. Bem, alguns deles são, pelo menos.
HopelessN00b

Respostas:

40

Existem vários programas governamentais e da indústria que fornecerão Hashes de material "Conhecido por Mau" (por exemplo, CP) para provedores de hospedagem. Em seguida, você pode fazer o hash dos arquivos nos servidores e comparar. Abaixo estão alguns que eu conheço:

  1. HashKeeper
    Descontinuado, administrado pelo Departamento de Justiça dos EUA
    http://www.nsrl.nist.gov/RDS/rds_2.44/Hashkeeper-RDS244-split.zip
  2. DCMEC HVSI
    Dirigido pelas crianças desaparecidas sem fins lucrativos
    http://www.missingkids.com/Exploitation/Industry
  3. NIST NSRL
    Hashes para arquivos de software, principalmente para evitar a pirataria de software
    http://www.nsrl.nist.gov/Downloads.htm

Outras notas:

  1. Ele será chamado de "CP" em qualquer lugar para evitar o uso do termo real. É esse tabu.
  2. A lei nos EUA é bastante razoável quando se trata de responsabilizar os provedores de serviços pelo que seus clientes colocam em seus servidores. Faça esforços mínimos para evitar abusos, comunique políticas de abusos aos usuários e tenha procedimentos para lidar com violações de políticas.
  3. O CP é o mais "sensível" possível. Certifique-se de que sua resposta inclua contato com as autoridades imediatamente após qualquer violação conhecida do CP - não adultere os dados ou o servidor, entre em contato com as autoridades primeiro. As autoridades o aconselharão sobre quais etapas você deve seguir a partir daí.
Chris S
fonte
8
3.5 Não discuta a situação com ninguém fora dos canais que envolvem as autoridades. Imediatamente significa imediatamente. Não tente impor as coisas por conta própria.
squillman
6
@squillman Por que não? Pornografia infantil não é uma arma carregada na sua cara! "Parece haver pornografia infantil no servidor em tais e tais diretórios e arquivos. Coloquei a caixa offline. Somente você e eu sabemos. Por favor, trate disso e me avise." Parece bastante simples. Não arraste o estado policial para seus próprios clientes; eles poderiam ser inocentes. Como você sabe que a caixa não foi hackeada para que ela seja implicitamente indevida? Isso também prejudicará seus negócios; seu servidor provavelmente será apreendido, mesmo que você não tenha feito nada.
Kaz
7
@ Kaz Não estou dizendo que estou necessariamente acusando o cliente. Deixe as autoridades resolverem isso. Ao lidar com isso no passado, fui aconselhado através de canais legais (aqui nos EUA) a não discutir a situação. Nos casos de PC, certamente estou arrastando as autoridades no final da conversa. Eu não ligo para quem está na minha caixa.
squillman
8
@Kaz Não é assim que funciona ... As autoridades precisam investigar e determinar quem é inocente. Em várias jurisdições, você pode ser acessório do crime por ações como essas.
24614 Jacob
7
Acrescentarei o conselho que geralmente é tão liberal: contate um advogado. Imediatamente. Antes de entrar em contato com as autoridades.
Marcks Thomas
17

Além da resposta de Chris sobre a CP, gostaria de salientar que a maneira como os caras grandes lidam com isso é:

  1. Usando bancos de dados contendo valores de hash de material defeituoso conhecido
    • Essa nem é uma solução particularmente eficaz, porque a menor alteração altera o hash
    • Geralmente, ou geralmente mantêm seu próprio banco de dados, além de quaisquer bancos acessíveis ao público
  2. Relatórios de usuários
    • Sob a forma de contatos de email ( [email protected])
    • Links de relatórios para sites com contato gerado pelo usuário ( click here to report this)
  3. Pagar aos seres humanos reais para revisar o conteúdo ou autorizar o conteúdo antes do upload
    • A MPAA e a RIAA, por exemplo, empregam dezenas de pessoas para vasculhar a web em busca de materiais protegidos por direitos autorais.

Então, para você, isso significa basicamente que não haverá uma ótima maneira de filtrar material censurável que não seja ilegal, porque o material questionável precisa ser identificado por uma pessoa. A maior parte do que é identificado nunca encontra seu caminho no banco de dados acessível ao público, e mesmo o que é encontrado é facilmente alterado para contornar as verificações de hash. Portanto, o ponto principal é que você realmente não pode impedir esse tipo de comportamento e tudo o que você pode fazer é reagir quando isso acontecer.

E lembre-se de que, se você começar a varrer o conteúdo de um tipo de material censurável, deverá procurar outros tipos. A lei varia de um lugar para outro, é claro, mas se você estiver pesquisando CP, vídeos de crueldade contra animais e etc., mas não procurar mídia pirateada, se alguém usar seu servidor para hospedar materiais com direitos autorais, têm dificuldade em evitar a responsabilidade por isso. Então ... bem, nada é simples, não é?

HopelessN00b
fonte
4

Infelizmente, como Chris S mencionou as hashlists, elas são inúteis. O comando a seguir alterará o hash de um arquivo, mas o deixará completamente reproduzível:

$ echo '0' >> pornfile.mp4

A verdade é que muitas empresas que lidam principalmente com vídeos enviados por usuários fazem com que os humanos analisem cada arquivo . Veja esta pergunta relacionada para as consequências! Portanto, se sua empresa principal for um vídeo enviado por usuários, recomendo que sua empresa instale um sistema de revisão humana.

dotancohen
fonte
3
1. Você ficaria surpreso com o analfabetismo tecnológico das pessoas que coletam e distribuem CP. As listas de hash ainda são um ótimo fio de ligação para essas atividades. 2. As leis variam de acordo com o país, todos precisam se lembrar de que este é um site global. Nos EUA, a revisão de todos os arquivos sugeridos por você geralmente perde o DMCA Safe-Harbor - portanto, isso é incrivelmente raro aqui. Parece que é muito comum em outros países.
Chris S
11
@ Chris: Obrigado pela compreensão, especialmente em relação ao DMCA. Acho perturbador o fato de a lei proibir implicitamente as empresas de procurar esse material. Eu me pergunto como os EUA chegaram ao ponto em que, devido aos aspectos técnicos da lei, as empresas são desencorajadas a procurar a CP por medo de se exporem à violação dos direitos de propriedade intelectual.
dotancohen
4
A questão é que o DMCA oferece às pessoas um cartão de saída da cadeia se não tiverem idéia do conteúdo do servidor. Depois de analisá-lo, você não pode afirmar que não sabia o que era. A RIAA e a MPAA escreveram a lei, não os políticos e, certamente, não com os melhores interesses das pessoas em mente.
Chris S
3
Esta não é uma peculiaridade dos EUA. A Diretiva de Comércio Eletrônico da UE tem disposições semelhantes. Ele protege os fornecedores de todos os tipos de responsabilidade, não apenas as reivindicações de violação de direitos autorais. Um provedor pode argumentar legitimamente: não sei o que meus usuários carregam e não é meu trabalho verificar. Os fornecedores ainda são obrigados a agir com base no conhecimento de irregularidades, por exemplo, quando notificados por terceiros. Eles são claros desde que removam conteúdo questionável no processo de revisão, mas devido ao risco de cometer erros, conseguir manter a ignorância é mais seguro.
Marcks Thomas
11
Eu entendo a nuance. Estou chocado que a lei desencoraje alguém a executar um is_cp(filename)cheque simples e barato, porque isso implica que ele poderia executar um is_copyrighted(filename)cheque complicado e caro .
dotancohen