Vyčuhování nezákonných souborů BitTorrent

Byla vyvinuta nová technika pro detekci a sledování nelegálního obsahu přenášeného pomocí protokolu BitTorrent pro obchodování se soubory. Podle jeho tvůrců může tento přístup monitorovat sítě bez přerušení toku dat a poskytuje vyšetřovatelům tvrdé důkazy o nezákonných přenosech souborů.

Pašované soubory mohou zahrnovat pirátské filmy, hudbu nebo software a dokonce i dětskou pornografii. Když nástroj detekuje takový soubor, uchovává záznam o příslušných síťových adresách pro pozdější analýzu, říká major Karl Schrader, který vedl práci na Air Force Institute of Technology , v Kettering, OH.

Používání softwaru peer-to-peer (P2P) a zejména protokolu BitTorrent se v posledních letech neustále zvyšuje. Ve skutečnosti pro mnoho poskytovatelů internetových služeb (ISP) nyní velká většina internetového provozu sestává z P2P přenosů.

Poskytovatelé internetových služeb se obecně zajímají pouze o detekci tohoto typu provozu, aby jej řídili nebo omezovali a uvolnili šířku pásma pro jiné účely. Tento přístup však neprozrazuje nic o obsahu každého převodu, říká Schrader. Několik nástrojů pro monitorování sítě dokáže identifikovat konkrétní soubory BitTorrent, ale tento proces je obecně pomalý, protože je třeba prozkoumat obsah každého souboru. Čas, který to trvá, se také exponenciálně zvyšuje s rostoucím počtem souborů, které je třeba skenovat.

Náš systém se liší tím, že je zcela pasivní, to znamená, že nemění žádné informace vstupující do sítě ani ji opouštějící, říká Schrader. Funguje to tak, že nejprve objeví soubory, které nesou charakteristický znak protokolu BitTorrent, a to tak, že prozkoumá prvních 32 bitů dat záhlaví souborů. Poté se systém podívá na hash souborů, jedinečný identifikační kód používaný ke koordinaci současného stahování stovek fragmentů souborů různými uživateli. Pokud se hash shoduje s jakýmkoliv uloženým v databázi zakázaných hashů, systém provede záznam o přenosu a uloží příslušné síťové adresy.

Jsem přesvědčen, že řešení funguje a že bude poměrně levné, protože je velmi specializované, říká Hendrik Schulze, technologický ředitel společnosti Ipoque , společnost zabývající se analýzou sítí se sídlem v Lipsku v Německu. Obecnější řešení, která se snaží monitorovat širokou škálu typů souborů, mohou být flexibilnější, říká, ale budou také dražší.

Jedním z důvodů, proč je nová technika tak rychlá, je to, že požadované zařízení se skládá ze speciálně konfigurovaného čipu s programovatelným hradlovým polem (FPGA) a paměťové karty flash, která ukládá protokol o nezákonné činnosti.

Toto nastavení znamená, že obsah souborů lze skenovat přímo klepnutím na vyrovnávací paměť ethernetového řadiče, čímž zůstane provoz sítě nerušený. To také znamená, že uživatelé nemohou zjistit, zda je síť monitorována, říká Schrader. Náš systém žádným způsobem nemodifikuje provoz ani nezasahuje do doručování provozu v síti ani ze sítě, říká.

Ross Anderson , expert na počítačovou bezpečnost z University of Cambridge ve Velké Británii, říká, že tato myšlenka není nic nového. Cisco léta prodává čínské vládě sady pro „Velký čínský firewall“, který dělá přesně to, co tito lidé navrhují, říká. Podobně australská firma Brilliant Digital Entertainment prodává nástroj nazvaný CopyRouter, který analyzuje hashe k identifikaci nelegálních souborů na jiných typech P2P sítí.

Schulze dodává, že tento přístup se opírá o aktuální seznam nelegálních souborů. Systém musí často aktualizovat obrovský seznam hash souborů, říká. Někdo musí haše kvalifikovat jako porušení autorských práv nebo jiný kriminální obsah.

Z právního hlediska Schulze říká, že soukromí může být významnějším problémem. Ani USA, ani žádná evropská země nedovolí [nikomu] nainstalovat zařízení, které kontroluje provoz každého uživatele, jen aby zastavilo internetové pirátství, říká. V tomto přístupu je každý uživatel považován za podezřelého.

I kdyby právní rámec technologii umožňoval, není zcela připravena k provozu. Testy systému, jejichž podrobnosti budou zveřejněny koncem tohoto roku v knize s názvem Pokroky v digitální forenzní analýze V , ukázal, že byl účinný při detekci 99 procent nelegálních souborů, ale pouze při rychlosti 100 megabitů za sekundu.

To je podle Andersona příliš pomalé pro komerční účely nebo pro účely vymáhání práva. Schulze souhlasí: K monitorování sítě je dnes zapotřebí jeden gigabit za sekundu nebo deset gigabitů za sekundu. Také říká, že není jasné, zda systém může vytvářet falešné poplachy a nesprávně označovat legitimní soubory jako nelegální.

Další nevýhodou je, že si systém nedokáže poradit se zašifrovanými soubory. Dnes je asi 25 procent provozu BitTorrentu šifrováno, říká Schulze. Pokud by se takový nástroj stal široce používaným, pak by každý, kdo má co skrývat, téměř jistě přešel na používání šifrování, říká.

skrýt