Illegale BitTorrent-bestanden opsnuiven

Er is een nieuwe techniek ontwikkeld voor het detecteren en volgen van illegale inhoud die wordt overgedragen met behulp van het BitTorrent-protocol voor bestandshandel. Volgens de makers kan de aanpak netwerken monitoren zonder de gegevensstroom te onderbreken en onderzoekers harde bewijzen leveren van illegale bestandsoverdrachten.





Gesmokkelde bestanden kunnen illegale films, muziek of software en zelfs kinderpornografie bevatten. Wanneer de tool een dergelijk bestand detecteert, houdt het de betrokken netwerkadressen bij voor latere analyse, zegt majoor Karl Schrader, die het werk leidde bij de Luchtmacht Instituut voor Technologie , in Kettering, OH.

Het gebruik van peer-to-peer (P2P) software en met name het BitTorrent-protocol is de afgelopen jaren gestaag toegenomen. Voor veel internetserviceproviders (ISP's) bestaat het overgrote deel van het internetverkeer nu uit P2P-overdrachten.

ISP's zijn over het algemeen alleen geïnteresseerd in het detecteren van dit type verkeer om het te controleren of te beperken en bandbreedte vrij te maken voor ander gebruik. Deze aanpak zegt echter niets over de inhoud van elke overdracht, zegt Schrader. Een handvol hulpprogramma's voor netwerkcontrole kunnen specifieke BitTorrent-bestanden identificeren, maar het proces is over het algemeen traag, omdat de inhoud van elk bestand moet worden onderzocht. De tijd die dit kost neemt ook exponentieel toe naarmate het aantal te scannen bestanden groeit.



Ons systeem onderscheidt zich doordat het volledig passief is, wat betekent dat het niets verandert aan informatie die een netwerk binnenkomt of verlaat, zegt Schrader. Het werkt, zegt hij, door eerst bestanden op te sporen die het kenmerk van het BitTorrent-protocol dragen door de eerste 32 bits van de headergegevens van de bestanden te onderzoeken. Vervolgens kijkt het systeem naar de hash van de bestanden, een unieke identificatiecode die wordt gebruikt om de gelijktijdige download van honderden bestandsfragmenten door verschillende gebruikers te coördineren. Als een hash overeenkomt met een hash die is opgeslagen in een database met verboden hashes, dan zal het systeem de overdracht registreren en de betrokken netwerkadressen opslaan.

Ik ben ervan overtuigd dat de oplossing werkt en dat het vrij goedkoop zal zijn, omdat het zeer gespecialiseerd is, zegt Hendrik Schulze, chief technology officer van Ipoque , een netwerkanalysebedrijf gevestigd in Leipzig, Duitsland. Meer algemene oplossingen die proberen een breed scala aan bestandstypen te controleren, zijn misschien flexibeler, zegt hij, maar ze zullen ook duurder zijn.

Een van de redenen waarom de nieuwe techniek zo snel is, is dat het benodigde apparaat bestaat uit een speciaal geconfigureerde FPGA-chip (Field Programmable Gate Array) en een flashgeheugenkaart die een logboek van de illegale activiteit opslaat.



Deze opstelling betekent dat de inhoud van bestanden direct kan worden gescand door gebruik te maken van een Ethernet-controllerbuffer, waardoor het netwerkverkeer ongemoeid blijft. Het betekent ook dat het voor gebruikers onmogelijk is om te zien of een netwerk wordt gecontroleerd, zegt Schrader. Ons systeem wijzigt op geen enkele manier het verkeer en interfereert ook niet met de levering van verkeer in of uit een netwerk, zegt hij.

Ross Anderson , een computerbeveiligingsexpert aan de Universiteit van Cambridge, V.K., zegt dat het idee niets nieuws is. Cisco verkoopt al jaren kits aan de Chinese overheid voor de 'Great Firewall of China' die precies doet wat deze jongens voorstellen, zegt hij. Evenzo verkoopt een Australisch bedrijf genaamd Brilliant Digital Entertainment een tool genaamd CopyRouter die hashes analyseert om illegale bestanden op andere soorten P2P-netwerken te identificeren.

Schulze voegt eraan toe dat de aanpak gebaseerd is op het hebben van een up-to-date lijst van illegale bestanden. Het systeem moet regelmatig een enorme lijst met bestandshashes bijwerken, zegt hij. Iemand moet de hashes kwalificeren als inbreuken op het auteursrecht of andere criminele inhoud.

Vanuit juridisch oogpunt zegt Schulze dat privacy een groter probleem kan zijn. Noch de VS, noch enig ander Europees land zou [iedereen] toestaan ​​een apparaat te installeren dat het verkeer van elke gebruiker inspecteert, alleen maar om internetpiraterij te stoppen, zegt hij. In deze benadering wordt elke gebruiker als verdacht beschouwd.

Zelfs als het wettelijke kader de technologie zou toestaan, is het nog niet helemaal klaar om te gaan. Tests van het systeem, waarvan de details later dit jaar zullen worden gepubliceerd in een boek genaamd Vooruitgang in digitaal forensisch onderzoek V , toonde aan dat het effectief was in het detecteren van 99 procent van de illegale bestanden, maar alleen met snelheden van 100 megabits per seconde.

Dat is volgens Anderson te langzaam voor commerciële of wetshandhavingsdoeleinden. Schulze is het ermee eens: er is tegenwoordig één gigabit per seconde of tien gigabit per seconde nodig om een ​​netwerk te bewaken. Hij zegt ook dat het onduidelijk is of het systeem valse positieven zou kunnen produceren, waarbij legitieme bestanden ten onrechte als illegaal worden bestempeld.

Een ander nadeel is dat het systeem niet overweg kan met versleutelde bestanden. Tegenwoordig is ongeveer 25 procent van het BitTorrent-verkeer versleuteld, zegt Schulze. Als zo'n tool op grote schaal zou worden gebruikt, zou iedereen die iets te verbergen heeft vrijwel zeker overstappen op encryptie, zegt hij.

zich verstoppen