Sistema de prevención de actividades ilegales (pornografía infantil, crueldad animal, ...)

Es un tema muy delicado que requiere una solución de nuestra parte. Tengo pocos servidores que alquilo a pocas personas. Tengo todos los permisos y derechos legales para escanear en los servidores.

Quiero evitar que las personas almacenen pornografía infantil, crueldad animal u otros videos de naturaleza similar. La primera prioridad es poder prevenir la pornografía infantil, ya que es el tema más delicado.

Traté de buscar soluciones en línea, pero no pude encontrar muchas personas discutiendo sobre este tema, creo que principalmente porque se considera un tema de discusión tabú.

Uno de mis pensamientos fue buscar en los servidores firmas de archivos conocidos. ¿Existe tal base de datos en alguna parte?

Sé que las grandes empresas como GoDaddy tienen ese sistema de prevención, pero como propietario de una pequeña empresa, ¿qué puedo hacer?

security datacenter usuario2253741
fuente

Creo que no puede encontrar una "respuesta" porque no hay medios técnicos para evitar ese tipo de actividad. Sepa quiénes son sus inquilinos y esté preparado para actuar cuando reciba órdenes de arresto, citaciones, etc. Incluso si "evita" el almacenamiento de los archivos en los Estados Unidos, al menos, tiene el deber de informar a los infractores cuando se trata de pornografía infantil

Evan Anderson

¿Seguro que quieres hacer esto? Si escanea activamente el contenido, creo que, al menos en los EE. UU., Pierde sus protecciones de protección, es decir, se hace responsable del contenido que aloja. Realmente deberías consultar con un abogado.

Zoredache

¿Alquilas estos servidores para hosting ? Solo si los servidores alojan materiales para acceso público, contendrán dichos materiales en texto sin formato. Si los servidores solo almacenan el material, los usuarios pueden evadir todos sus intentos de detección almacenándolos en forma cifrada. Ni siquiera se puede saber qué es un archivo de imagen y qué no.

Kaz

Eres ingenuo si crees que las personas van a alojar pornografía infantil en la red clara. La mayoría de los sitios web y webhosts con cpanel mantienen registros de tráfico web con direcciones IP. Todo está en la red oscura. Sé cómo acceder al porno infantil en 30 segundos. También puedo ver animales sacrificados y personas linchadas en YouTube, así como otras actividades ilegales y sangrientas (incluso en otros sitios web).

Desbest

@desbest Bueno, la última gran caída de CP sobre la que leí en Wired (el año pasado en algún momento), atraparon a más de 100 personas en los EE. UU. para descargar CP en eMule (o uno de esos servicios de intercambio de archivos P2P que no es BitTorrent). Entonces ... parece que los criminales son lo suficientemente tontos como para hacer este tipo de cosas en clearnet. Bueno, algunos de ellos son, al menos.

HopelessN00b

Respuestas:

Existen varios programas gubernamentales e industriales que proporcionarán hashes de material "conocido malo" (por ejemplo, CP) a los proveedores de hosting. Luego puede hacer hash de los archivos en sus servidores y compararlos. A continuación hay algunos que conozco:

HashKeeper
descontinuado, administrado por el Departamento de Justicia de los EE. UU.
Http://www.nsrl.nist.gov/RDS/rds_2.44/Hashkeeper-RDS244-split.zip
DCMEC HVSI administrado
por la organización sin fines de lucro Missing Kids
http://www.missingkids.com/Exploitation/Industry
NIST NSRL
Hashes para archivos de software, principalmente para evitar la piratería de software
http://www.nsrl.nist.gov/Downloads.htm

Otras notas:

Se llamará "CP" en todas partes para evitar usar el término real. Es ese tabú.
La ley en los Estados Unidos es muy razonable cuando se trata de responsabilizar a los proveedores de servicios por lo que sus clientes ponen en sus servidores. Haga esfuerzos mínimos para prevenir el abuso, comunique la política de abuso a los usuarios y tenga procedimientos para lidiar con violaciones de la política.
CP es casi tan "sensible" como se pone. Asegúrese de que su respuesta incluya ponerse en contacto con las autoridades inmediatamente ante cualquier violación de CP conocida; no altere los datos o el servidor, primero póngase en contacto con las autoridades. Las autoridades le aconsejarán qué pasos debe seguir desde allí.

Chris S
fuente

3.5. No discuta la situación con nadie fuera de los canales que involucran a las autoridades. Inmediatamente significa inmediatamente. No intentes hacer cumplir las cosas por tu cuenta.

Squillman

@quillman ¿Por qué no? ¡El porno infantil no es un arma cargada en tu cara! "Parece que hay pornografía infantil en el servidor en tales directorios y archivos. He desconectado la caja. Solo tú y yo lo sabemos. Por favor, trata esto y avísame". Suena bastante simple. No arrastre al estado policial a sus propios clientes; Podrían ser inocentes. ¿Cómo sabes que la caja no fue pirateada para que estén implicados injustamente? También va a interrumpir su negocio; su servidor probablemente será confiscado aunque no haya hecho nada.

Kaz

@Kaz No estoy diciendo que necesariamente estoy acusando al cliente. Deja que las autoridades lo resuelvan. Al tratar con esto en el pasado, me aconsejaron a través de canales legales (aquí en los EE. UU.) No discutir la situación. En casos de PC, ciertamente estoy arrastrando a las autoridades al final de la conversación. No me importa quién está en mi caja.

Squillman

@Kaz Así no es como funciona ... Las autoridades deben investigar y determinar quién es inocente. En varias jurisdicciones puede ser accesorio al delito por acciones como esas.

Jacob

Agregaré el consejo que a menudo es tan liberal: contacte a un abogado. Inmediatamente. Antes de contactar a las autoridades.

Marca Thomas el

Además de la respuesta de Chris sobre CP, señalaría que la forma en que los grandes manejan esto es:

Uso de bases de datos que contienen valores hash de material defectuoso conocido
- Esto ni siquiera es una solución particularmente efectiva, porque el más mínimo cambio cambia el hash
- En general, o con frecuencia mantendrán su propia base de datos, además de las de acceso público.
Informes de usuarios
- En forma de contactos de correo electrónico ( [email protected])
- Informes de enlaces para sitios con contacto generado por el usuario ( click here to report this)
Pagar a seres humanos reales para revisar contenido o autorizar contenido antes de que se cargue
- La MPAA y la RIAA, por ejemplo, emplean a docenas de personas para buscar materiales con derechos de autor en la web.

Entonces, para usted, eso básicamente significa que no habrá una gran manera de filtrar material objetable que no sea ilegal, porque el material objetable debe ser identificado por una persona. La mayor parte de lo que se identifica nunca llega a una base de datos de acceso público, e incluso lo que sí se modifica fácilmente para evitar las comprobaciones hash. Entonces, la conclusión es que realmente no puede evitar este tipo de comportamiento, y todo lo que puede hacer es reaccionar una vez que sucede.

Y tenga en cuenta que si comienza a escanear contenido para un tipo de material objetable, se espera que escanee en busca de otros tipos. La ley varía de un lugar a otro, por supuesto, pero si está escaneando CP, videos de crueldad animal, etc., pero no escanea en busca de medios pirateados, si alguien usa su servidor para alojar materiales con derechos de autor, tener dificultades para evitar la responsabilidad por eso. Entonces ... bueno, nada es simple, ¿verdad?

HopelessN00b
fuente

Desafortunadamente, aunque existen los hashlists mencionados por Chris S, son inútiles. El siguiente comando cambiará el hash de un archivo pero lo dejará completamente reproducible:

$ echo '0' >> pornfile.mp4

La verdad es que muchas compañías que se ocupan principalmente de videos subidos por usuarios hacen que los humanos revisen todos y cada uno de los archivos . ¡Vea esta pregunta relacionada para conocer las consecuencias! Por lo tanto, si su negocio principal es el video subido por el usuario, le recomiendo que su empresa instale dicho sistema de revisión humana.

dotancohen
fuente

1. Te sorprendería el analfabetismo tecnológico de las personas que recolectan y distribuyen PC. Las listas de hash siguen siendo una gran trampa para tales actividades. 2. Las leyes varían según el país, todos deben recordar que este es un sitio global. En los EE. UU., Revisar todos los archivos como sugiere generalmente pierde el Safe-Harbor de DMCA, por lo que hacer eso es increíblemente raro aquí. Parece que es muy común en otros países.

Chris S

@ChrisS: Gracias por la información, especialmente con respecto a la DMCA. Me resulta inquietante que la ley implícitamente prohíba a las compañías escanear en busca de dicho material. Me pregunto cómo llegaron los Estados Unidos al punto en que, debido a los tecnicismos de la ley, se desaconseja que las empresas escaneen en busca de PC por temor a exponerse a infringir los derechos de propiedad intelectual.

dotancohen

El problema es que la DMCA les da a las personas una tarjeta para salir de la cárcel si no tienen idea de qué contenido hay en su servidor. Una vez que lo has visto, no puedes decir que no sabías lo que era. La RIAA y la MPAA escribieron la ley, no políticos y ciertamente no con los mejores intereses de las personas en mente.

Chris S

Esta no es una peculiaridad estadounidense. La Directiva de Comercio Electrónico de la UE tiene disposiciones similares. Protege a los proveedores de todo tipo de responsabilidad, no solo de reclamos por infracción de derechos de autor. Un proveedor puede argumentar legítimamente: no sé lo que cargan mis usuarios y no es mi trabajo verificarlo. Los proveedores aún deben actuar con conocimiento de irregularidades, por ejemplo, cuando un tercero lo notifique. Están en claro siempre que eliminen contenido cuestionable en el proceso de revisión, pero debido al riesgo de equivocarse, mantener la ignorancia es más seguro.

Marca Thomas el

Entiendo el matiz. Me horroriza que la ley desaliente a uno a realizar un control simple y económico is_cp(filename)porque eso implica que podría ejecutar un is_copyrighted(filename)control complicado y costoso .

dotancohen