System zapobiegania nielegalnym działaniom (pornografia dziecięca, okrucieństwo wobec zwierząt,…)

29

To bardzo delikatny temat, który wymaga rozwiązania z naszej strony. Mam kilka serwerów, które wynajmuję kilku osobom. Mam wszystkie prawne uprawnienia i prawa do skanowania na serwerach.

Chcę uniemożliwić przechowywanie pornografii dziecięcej, okrucieństwa wobec zwierząt lub innych filmów o podobnym charakterze. Pierwszym priorytetem jest zapobieganie pornografii dziecięcej, ponieważ jest to najbardziej drażliwa kwestia.

Próbowałem szukać rozwiązań online, ale nie udało mi się znaleźć wielu ludzi, którzy nawet dyskutują na ten temat. Uważam, że głównie dlatego, że jest to temat dyskusji tabu.

Jedną z moich myśli było przeszukanie serwerów w poszukiwaniu sygnatur znanych plików. Czy jest gdzieś taka baza danych?

Wiem, że duże firmy takie jak GoDaddy mają taki system zapobiegania, ale jako właściciel małej firmy, co mogę zrobić?

security datacenter użytkownik2253741
źródło
17
Myślę, że nie można znaleźć „odpowiedzi”, ponieważ nie ma technicznych środków, które mogłyby temu zapobiec. Wiedz, kim są twoi najemcy i bądź przygotowany na działania, gdy otrzymasz nakaz, wezwanie do sądu itp. Nawet jeśli „zapobiegniesz” przechowywaniu plików w Stanach Zjednoczonych, przynajmniej masz obowiązek zgłosić przestępców, jeśli chodzi o pornografia dziecięca.
Evan Anderson,
11
Czy na pewno chcesz to zrobić? Jeśli aktywnie skanujesz zawartość, to uważam, że przynajmniej w Stanach Zjednoczonych tracisz ochronę typu „bezpieczna przystań”, tj. Stajesz się odpowiedzialny za treści, które hostujesz. Naprawdę powinieneś skonsultować się z prawnikiem.
Zoredache,
1
Czy wynajmujesz te serwery na hosting ? Tylko wtedy, gdy serwery przechowują materiały do ​​publicznego dostępu, będą zawierać takie materiały w postaci zwykłego tekstu. Jeśli serwery przechowują tylko materiał, użytkownicy mogą uniknąć wszystkich prób wykrycia przez przechowywanie w postaci zaszyfrowanej. Nie możesz nawet powiedzieć, co to jest plik obrazu, a co nie.
Kaz
5
Jesteś naiwny, jeśli myślisz, że ludzie będą prowadzić pornografię dziecięcą w sieci clearnet. Większość witryn i hostów z panelem cpanel prowadzi dzienniki ruchu sieciowego z adresami IP. Wszystko jest w ciemnej sieci. Wiem, jak uzyskać dostęp do pornografii dziecięcej w 30 sekund. Mogę też oglądać zwierzęta poddawane ubojowi i linczowaniu ludzi na YouTube, a także inne brutalne i nielegalne działania (nawet na innych stronach internetowych).
desbest
3
@desbest Cóż, ostatni duży biust CP, o którym czytałem na Wired (w zeszłym roku), złapali ponad 100 osób w USA za pobranie CP na eMule (lub jednej z tych usług udostępniania plików P2P, które nie są BitTorrentem). Sooo .... wygląda na to, że przestępcy są na tyle głupi, aby robić takie rzeczy na Clearnet. Cóż, przynajmniej niektóre z nich.
HopelessN00b

Odpowiedzi:

40

Istnieją różne programy rządowe i branżowe, które dostarczą hashe „znanych złych” materiałów (np. CP) dostawcom usług hostingowych. Następnie możesz zaszyfrować pliki na swoich serwerach i porównać. Poniżej kilka, które znam:

  1. HashKeeper
    Discontinued, prowadzony przez US DoJ
    http://www.nsrl.nist.gov/RDS/rds_2.44/Hashkeeper-RDS244-split.zip
  2. DCMEC HVSI
    Prowadzony przez zaginione dzieci non-profit
    http://www.missingkids.com/Exploitation/Industry
  3. NIST NSRL Hashes
    dla plików oprogramowania, głównie w celu uniknięcia piractwa oprogramowania
    http://www.nsrl.nist.gov/Downloads.htm

Inne notatki:

  1. Wszędzie będzie się nazywać „CP”, aby uniknąć używania rzeczywistego terminu. To takie tabu.
  2. Prawo w USA jest bardzo rozsądne, jeśli chodzi o pociąganie dostawców usług do odpowiedzialności za to, co ich klienci umieszczają na swoich serwerach. Podejmuj minimalne wysiłki, aby zapobiec nadużyciom, informuj użytkowników o polityce nadużyć i stosuj procedury postępowania w przypadku naruszeń zasad.
  3. CP jest mniej więcej tak „wrażliwy”, jak to tylko możliwe. Upewnij się, że Twoja odpowiedź obejmuje natychmiastowe skontaktowanie się z organami w przypadku jakichkolwiek znanych naruszeń CP - nie manipuluj danymi ani serwerem, najpierw skontaktuj się z organami. Władze doradzą ci, jakie kroki powinieneś z tego zrobić.
Chris S.
źródło
8
3.5 Nie omawiaj sytuacji z nikim spoza kanałów angażujących władze. Natychmiast oznacza natychmiast. Nie próbuj narzucać rzeczy na własną rękę.
squillman
6
@squillman Dlaczego nie? Pornografia dziecięca nie jest naładowaną bronią w twarz! „Wydaje się, że na serwerze jest takie pornografia dziecięca w takich i takich katalogach i plikach. Przełączyłem to urządzenie w tryb offline. Tylko ty i ja wiemy. Zajmij się tym i daj mi znać”. Brzmi dość prosto. Nie przeciągaj stanu policyjnego na własnych klientów; mogą być niewinni. Skąd wiesz, że pudełko nie zostało zhakowane, więc zostały w niesłuszny sposób powiązane? To również zakłóci twój biznes; Twój serwer prawdopodobnie zostanie zajęty, nawet jeśli nic nie zrobiłeś.
Kaz
7
@Kaz Nie mówię, że koniecznie oskarżam klienta. Niech władze to załatwią. Kiedy zajmowałem się tym w przeszłości, doradzono mi za pośrednictwem legalnych kanałów (tutaj w USA), aby nie omawiały sytuacji. W przypadkach CP z pewnością przeciągam autorytety na koniec rozmowy. Nie obchodzi mnie kto jest na moim pudełku.
squillman
8
@Kaz Nie tak to działa ... Władze muszą zbadać i ustalić, kto jest niewinny. W kilku jurysdykcjach możesz brać udział w przestępstwach w przypadku takich działań.
Jacob
7
Dodam radę, która jest często tak liberalnie udzielana: skontaktuj się z prawnikiem. Natychmiast. Przed skontaktowaniem się z władzami.
Marcks Thomas
17

Oprócz odpowiedzi Chrisa na temat CP zwracam uwagę, że sposób, w jaki duzi faceci sobie z tym radzą, to:

  1. Korzystanie z baz danych zawierających wartości mieszane znanych złych materiałów
    • Nie jest to nawet szczególnie skuteczne rozwiązanie, ponieważ najmniejsza zmiana zmienia skrót
    • Będą one generalnie lub często utrzymywać własną bazę danych, oprócz wszelkich publicznie dostępnych
  2. Raportowanie od użytkowników
    • W formie kontaktów e-mail ( [email protected])
    • Zgłaszanie linków do witryn z kontaktem generowanym przez użytkownika ( click here to report this)
  3. Płacenie faktycznym ludziom za przeglądanie treści lub autoryzowanie treści przed ich przesłaniem
    • Na przykład MPAA i RIAA zatrudniają dziesiątki osób do przeszukiwania sieci w poszukiwaniu materiałów chronionych prawem autorskim

Dla ciebie oznacza to w zasadzie, że nie będzie świetnego sposobu na odfiltrowanie kontrowersyjnego materiału, który nie jest nielegalny, ponieważ osoba kontrowersyjna musi zidentyfikować nieodpowiedni materiał. Większość tego, co zostało zidentyfikowane, nigdy nie trafia do publicznie dostępnej bazy danych, a nawet to, co się dzieje, jest dość łatwe do zmiany, aby obejść kontrolę hash. Podsumowując, nie możesz tak naprawdę zapobiec tego typu zachowaniu, a wszystko, co możesz zrobić, to zareagować, kiedy to nastąpi.

I pamiętaj, że jeśli zaczniesz skanować zawartość w poszukiwaniu jednego rodzaju materiałów budzących zastrzeżenia, będziesz musiał skanować w poszukiwaniu innych typów. Prawo różni się oczywiście w zależności od miejsca, ale jeśli skanujesz w poszukiwaniu CP, filmów przedstawiających okrucieństwo wobec zwierząt itp., Ale nie skanujesz pirackich mediów, jeśli ktoś używa twojego serwera do hostowania materiałów chronionych prawem autorskim, trudno jest uniknąć odpowiedzialności za to. Więc ... cóż, nic nie jest nigdy proste, prawda?

Beznadziejny
źródło
4

Niestety, jak wspomnieli Chris S, haslists istnieją, są one bezużyteczne. Następujące polecenie zmieni skrót pliku, ale pozostawi go w pełni odtwarzalnym:

$ echo '0' >> pornfile.mp4

Prawda jest taka, że ​​wiele firm, które zajmują się głównie filmami przesyłanymi przez użytkowników, ma ludzi przeglądających każdy plik . Zobacz to powiązane pytanie, aby zobaczyć konsekwencje! Dlatego jeśli twoją podstawową działalnością jest przesyłanie filmów przez użytkowników, gorąco polecam Twojej firmie zainstalowanie takiego systemu oceny przez ludzi.

dotancohen
źródło
3
1. Możesz być zaskoczony technologicznym analfabetyzmem ludzi, którzy zbierają i dystrybuują CP. Listy skrótów są wciąż świetnym przewodnikiem do takich działań. 2. Przepisy różnią się w zależności od kraju, każdy musi pamiętać, że jest to strona globalna. W Stanach Zjednoczonych przeglądanie wszystkich plików, które sugerujesz, zasadniczo powoduje utratę DMCA Safe-Harbor - dlatego jest to niezwykle rzadkie. Wydaje się, że jest to bardzo powszechne w innych krajach.
Chris S
1
@ChrisS: Dziękujemy za wgląd, szczególnie w odniesieniu do DMCA. Niepokoi mnie to, że prawo domyślnie zabrania firmom skanowania takich materiałów. Zastanawiam się, w jaki sposób USA doszły do ​​tego stopnia, że ​​ze względu na specyfikę prawa firmy zniechęcają do skanowania CP w obawie przed narażeniem się na naruszenie praw własności intelektualnej.
dotancohen
4
Problem polega na tym, że DMCA daje ludziom kartę wychodzącą z więzienia, jeśli nie mają pojęcia, jaka zawartość znajduje się na ich serwerze. Po obejrzeniu go nie możesz twierdzić, że nie wiedziałeś, co to było. RIAA i MPAA napisały prawo, a nie polityków, a już na pewno nie z myślą o najlepszym interesie ludzi.
Chris S
3
To nie jest specyfika USA. Dyrektywa UE w sprawie handlu elektronicznego ma podobne przepisy. Chroni dostawców przed wszelką odpowiedzialnością, nie tylko roszczeniami o naruszenie praw autorskich. Dostawca może słusznie argumentować: nie wiem, co przesyłają moi użytkownicy i nie jest to moim obowiązkiem sprawdzanie. Dostawcy są nadal zobowiązani do działania na podstawie wiedzy o wykroczeniach, np. Po powiadomieniu przez stronę trzecią. Wyjaśniają, o ile usuwają wątpliwe treści w procesie recenzji, ale ze względu na ryzyko popełnienia błędu, zachowanie niewiedzy jest bezpieczniejsze.
Marcks Thomas
1
Rozumiem niuans. Jestem po prostu przerażony, że prawo zniechęca do wykonywania prostych, niedrogich is_cp(filename)czeków, ponieważ implikuje to, że mógłby on wykonać skomplikowany, drogi is_copyrighted(filename)czek.
dotancohen