zaterdag 17 september 2011

Kinderporno filter van LeaseWeb nuttig?

Geweldige promo stunt van LeaseWeb natuurlijk. Een kinderporno filter.
Ze schijnen als hoster nogal eens met kinderporno te maken hebben, en dat vinden ze niet leuk natuurlijk (logisch...). Enfin, perfect dat ze daar iets aan willen doen. Dus hoppa we regelen een filter in samenwerken met het KLPD. Ministertje erbij die de boel het start sein geeft. TOP!.... al die publiciteit.

Want zoals we van KPN inmiddels weten is Deep Packet Inspection helemaal niet toegestaan. Hoe lossen ze dat op bij LeaseWeb? De klant mag zelf bepalen of het filter aan staat of niet. Goed, nu zijn er vast vele pedo's die zeggen dat ze geen pedo zijn, maar een filter aan zetten om hun eigen bestanden te laten controleren. Nee, mijn instinct zegt dat een beetje pedo dat toch niet zo snel zal doen.

Websites waarbij het de bedoeling is kinderporno te plaatsen zullen dus sowieso niet slachtoffer van dit filter worden. Wie kunnen we hier dan wel mee opsporen?
Dat zullen mogelijk pubers zijn die kinderporno op websites pleuren om mensen te shockeren, zoals dat een gewoonte is op 4chan bijvoorbeeld. Daarbij houden 14 jarige pubers ook wel van plaatjes van de wat jongere meisjes, immers, meestal valt de mens op leeftijd genoten en niet altijd op GILFs. Papa van deze pubers kan dus nog wel eens de lul worden.
Verder is het natuurlijk wel handig voor bijvoorbeeld image upload sites die niet gedient zijn van dit soort plaatjes, maar dat is puur uit eigen belang. Niet omdat ze zo graag zien dat die pedo's gepakt worden.


De techniek erachter.
De exacte techniek is mij niet bekend. Maar wat ik begrijp is dat er een hash van een geupload plaatje wordt gemaakt, deze hash wordt richting een server van het KLPD gestuurd. Welke vervolgens antwoordt met JA, het is kinderporno. Of NEE, dit plaatje is mij niet bekend. Wanneer het antwoord JA is wordt ook nog even het ip-adres van de uploader door gestuurd naar Fox-IT, oftewel: meldpuntcybercrime.nl (zie mijn eerdere blogs).
Uit bovenstaande omschrijving kan ik alleen maar op maken dat het HTTP verkeer 'afgeluisterd' wordt. En daar zit dan al gelijk weer een zwakte. Immers, pedo's zijn heul handig met internet en die sturen hun plaatjes natuurlijk niet via HTTP. Daar hebben ze allerlei andere truckjes voor, zoals bijvoorbeeld HTTPS.
Uit het feit dat het ip-adres direct naar het meldpuntcybercrime.nl mee wordt gestuurd maak ik op dat het HTTP verkeer afgeluisterd wordt, immers uit zo'n pakketje kan je het ip-adres halen. Als dit zou gebeuren nadat bestanden verzonden via HTTPS en dus ontsleuteld heb je het gekoppelde ip-adres er niet meer bij. Kan wel uiteraard, maar dan moet je een ingewikkelde constructie opbouwen, een waarvan ik denk dat de klanten van LeaseWeb zeggen: "laat maar zitten dat filter".

Neemt niet weg dat dit natuurlijk een mooi initiatief is. Perfect idee, database die bij KLPD draait, HTTP request en je weet meteen of een plaatje bekend is bij politie of niet. Eigenlijk zouden ze sowieso een programma moeten opstarten om deze techniek bij meerdere bedrijven toe te passen. Hopen dat het ip-adres van de database server niet uitlekt, de server niet gehacked wordt, nog dat pedo's er op welke manier dan ook hun voordeel mee kunnen doen.
Jammer is het gewoon dat de Nederlandse wet het op dit moment niet toestaat dit soort projecten op grote schaal te implementeren.

4 opmerkingen:

  1. Hoi Rickey,

    Mijn gedachtes;

    * - Pedofielen gebruiken in bijna alle gevallen geen reguliere HTTP-verbinding. Maar HTTPS, VPN, of proxies. Op enorm veel "boards"

    vindt je ook het advies om plaatjes zo te "ruilen". Dit verkeer is tot op heden uitsluitend door infiltratie van de "boards" te

    onderscheppen."HASH-en" heeft zo dus geen zin. Tenzij je infiltreert. Of exit-nodes in beslag neemt en alle logs natrekt. Een simpele

    manier om hieraan te ontkomen; voeg 2 regeltjes code toe aan Tor en de exit-node ligt in Rusland. En voorkom je hiermee in 99,9% van de

    gevallen opsporing. Want Rusland (en de daarom heen liggenden Oostblok-landen) is, met alle respect, hof-leverancier van kinderporno.

    * - Onbekende plaatjes worden er niet uitgefilterd. Hier is immers geen HASH van bekend. Het levert bij ontdekking wel een nieuwe

    'entry' in de database op, maar c'est ça. Dat is het ook.

    * Het is een initiatief van Leaseweb. En daar bankieren geen pedofielen. Misschien de eenzame pastoor van de Katholieke Kerk in

    Appelscha die niet weet hoe of wat. Maar zeker niet de doorgewinterde of casuale kleuterkletser. Die doet zijn boodschappen bij een

    hoster in Rusland of een encrypted Webhostboer op torweb. En die pak je zo niet.

    * - Aanpassing van de afbeelding, een veelgebruikte techniek zoals 'cropping' van de afbeelding of .rar-en met enorm lange passwords

    worden niet gedetecteerd. Dit levert immers ook een andere HASH op. En zijn in het laatste geval niet te detecteren. Roberts Mikkelson

    gebruikte een password van 28 tekens. Voor een .rar is dit te doen. Na een weekje. Maar niet met een password van 87 tekens. Upper- en

    Lowercase. ,<.>;:'"\|_-. Ondoenlijk. En zulke lange passwords zijn eerder regel dan uitzondering blijkt uit mijn onderzoek. Of de door

    jou gepresenteerde techniek van het insluiten van verborgen afbeeldingen in 'normale plaatjes'. "hiddenmssg.png". Even samenvoegen in

    cmd.exe en je bent er. Niet detecteerbaar mits 'encrypted'.

    BeantwoordenVerwijderen
  2. ..en verder...


    * - Het verbergen van je password en het niet aan de politie willen vertellen levert een straf van 5 jaar op in Engeland. Als je de password vertelt en de politie vindt ook daadwerkelijk de kinderporno kan, in de allerergste gevallen, de straf hoger uitvallen. Ergo;

    de pedofiel kiest ervoor zijn beveiliging niet op te geven. Een hint was de eerste huivering van Roberts Mikkelson, die initieel zijn
    password niet wilde opgeven. Een logische, maar niet bevestigde verklaring, voor zijn gedrag kan zijn; bij ontdekking levert het me meer straf op..

    Ik vind IP-filtering 'an sich' een goede oplossing. Maar nutteloos. Je pakt de dwaas die er geen verstand van heeft.

    Ik pleit voor infiltratie. En ik pleit voor een Bits&Byte-verbod voor pedofielen die veroordeeld zijn. Misschien is een internetverbod praktischer maar dat levert een kans op da de kindervriend al 'BlackBerriend' alsnog via een pre-paid SIM-metje de ene na het andere blootfotootje binnenslurpt. Het is statistisch en empirisch bewezen dat de kans van recidive enorm hoog is onder pedofielen. En digitaal is echt dé manier waarop men te werk gaat. Verbod op lulijzer, DVD-speler, computer en ASUS EEE of iPAD. Draconisch? Misschien. De techniek wordt al toegepast in Amerika waar Michael Mitnick 5 jaar niet mocht internetten. Met succes.

    Moeilijk te controleren? Mwah. Reclassering controleert rekeningen op UPC, Ziggo, Telfort etc. Contante uitgaven verklaren en checken.

    Onverwachte huisbezoeken (zoals die nu ook gebeuren) en wekelijks melden bij hulpinstanties.

    Just my 2 cens,

    Recklessnutter

    {Wellicht kun je mijn eerste reactie corrigeren voor opmaak}

    BeantwoordenVerwijderen