211service.com
Sniffar upp olagliga BitTorrent-filer
En ny teknik har utvecklats för att upptäcka och spåra olagligt innehåll som överförts med hjälp av BitTorrents filhandelsprotokoll. Enligt dess skapare kan tillvägagångssättet övervaka nätverk utan att avbryta dataflödet och ger utredarna hårda bevis för olagliga filöverföringar.
Smutsiga filer kan innehålla piratkopierade filmer, musik eller programvara och till och med barnpornografi. När verktyget upptäcker en sådan fil, håller det register över nätverksadresserna som är involverade för senare analys, säger major Karl Schrader, som ledde arbetet vid Flygvapnets tekniska högskola , i Kettering, OH.
Användningen av peer-to-peer (P2P) programvara och av BitTorrent-protokollet i synnerhet har ökat stadigt under de senaste åren. Faktum är att för många internetleverantörer (ISP) består den stora majoriteten av internettrafiken nu av P2P-överföringar.
ISP:er är i allmänhet bara intresserade av att upptäcka den här typen av trafik för att kontrollera, eller strypa, den och frigöra bandbredd för annan användning. Detta tillvägagångssätt avslöjar dock ingenting om innehållet i varje överföring, säger Schrader. En handfull nätverksövervakningsverktyg kan identifiera specifika BitTorrent-filer, men processen är i allmänhet långsam, eftersom innehållet i varje fil måste undersökas. Tiden som detta tar ökar också exponentiellt när antalet filer som behöver skannas växer.
Vårt system skiljer sig genom att det är helt passivt, vilket innebär att det inte ändrar någon information som kommer in i eller lämnar ett nätverk, säger Schrader. Det fungerar, säger han, genom att först upptäcka filer som har kännetecknet för BitTorrent-protokollet genom att undersöka de första 32 bitarna av filens huvuddata. Sedan tittar systemet på filernas hash, en unik identifieringskod som används för att koordinera den samtidiga nedladdningen av hundratals filfragment av olika användare. Om en hash matchar någon som lagras i en databas med förbjudna hash, kommer systemet att registrera överföringen och lagra nätverksadresserna som är involverade.
Jag är övertygad om att lösningen fungerar och att den kommer att vara ganska billig, eftersom den är väldigt specialiserad, säger Hendrik Schulze, teknisk chef för Ipoque , ett nätverksanalysföretag baserat i Leipzig, Tyskland. Mer generaliserade lösningar som försöker övervaka för ett brett spektrum av filtyper kan vara mer flexibla, säger han, men de blir också dyrare.
En anledning till att den nya tekniken är så snabb är att den utrustning som krävs består av ett speciellt konfigurerat FPGA-chip (field programmeable gate array) och ett flashminneskort som lagrar en logg över den olagliga aktiviteten.
Denna inställning innebär att innehållet i filer kan skannas direkt genom att knacka på en Ethernet-kontrollerbuffert, och därmed lämna nätverkets trafik ostörd. Det betyder också att det är omöjligt för användare att se om ett nätverk övervakas, säger Schrader. Vårt system modifierar inte trafiken på något sätt och stör inte heller leveransen av trafik vare sig in eller ut ur ett nätverk, säger han.
Ross Andersson , en datasäkerhetsexpert vid University of Cambridge, U.K., säger att idén inte är ny. Cisco har i flera år sålt kit till den kinesiska regeringen för 'Kinas stora brandvägg' som gör precis vad de här killarna föreslår, säger han. På samma sätt säljer ett australiensiskt företag som heter Brilliant Digital Entertainment ett verktyg som heter CopyRouter som analyserar hash för att identifiera olagliga filer på andra typer av P2P-nätverk.
Schulze tillägger att tillvägagångssättet bygger på att ha en uppdaterad lista över olagliga filer. Systemet måste uppdatera en enorm lista med filhashar ofta, säger han. Någon måste kvalificera hasharna som upphovsrättsintrång eller annat kriminellt innehåll.
Ur juridisk synvinkel säger Schulze att integritet kan vara ett mer betydande problem. Varken USA eller något europeiskt land skulle tillåta [vem som helst] att installera en enhet som inspekterar trafiken för varje användare bara för att stoppa piratkopiering på internet, säger han. I detta tillvägagångssätt anses varje användare vara misstänksam.
Även om den rättsliga ramen skulle tillåta tekniken är den inte riktigt redo att gå. Tester av systemet, detaljer om vilka kommer att publiceras senare i år i en bok som heter Framsteg inom Digital Forensics V , visade att det var effektivt för att upptäcka 99 procent av olagliga filer, men bara med hastigheter på 100 megabit per sekund.
Det är för långsamt för kommersiella eller brottsbekämpande ändamål, enligt Anderson. Schulze håller med: En gigabit per sekund eller tio gigabit per sekund krävs idag för att övervaka ett nätverk. Han säger också att det är oklart om systemet kan ge falska positiva resultat, och felaktigt märka legitima filer som olagliga.
En annan nackdel är att systemet inte kan hantera krypterade filer. Idag är cirka 25 procent av BitTorrent-trafiken krypterad, säger Schulze. Om ett sådant verktyg blev allmänt använt skulle alla som hade något att dölja nästan säkert gå över till att använda kryptering, säger han.