Emuārs

Par Apple piedāvāto CSAM skenēšanu un to, kāpēc tā ir liela problēma

Apple ierosināja CSAM skenēšanu



Apple nesen paziņoja par plānu savā platformā veikt fotoattēlu skenēšanu klienta pusē, lai novērstu to izmantošanu bērnu pornogrāfijas kopīgošanai. Pēc tam pēc tehnologu un drošības pētnieku atbildes reakcijas tā aizkavēja savus plānus. Bet kādēļ tā traci, ja nosauktais mērķis ir tik slavējams? Noskaidrosim.

Augusta sākumā Apple izklāstīja gaidāmās izmaiņas, ko tā plāno veikt savās operētājsistēmās, kas iCloud un iMessage iestrādās jaunas 'aizsardzības bērniem'. Un ierosinātajā sistēmā ir divi mehānismi: viens attiecas uz iMessage un otrs attiecas uz iCloud fotoattēliem.



iCloud fotoattēlu skenēšana

Pirmais mehānisms attiecas uz iCloud. Apple nodrošina visiem saviem lietotājiem noteiktu servera vietu, lai uzglabātu tādas lietas kā fotoattēlus, videoklipus un dokumentus, padarot tos pieejamus no jebkuras lietotāja ierīces internetā. Tas ir iCloud.

Ar ierosinātajām izmaiņām ikreiz, kad lietotājs augšupielādē fotoattēlu savā iCloud kontā, tas tiek skenēts lokāli viņa ierīcē, pirms tas tiek augšupielādēts Apple serveros. Skenēšanas mērķis, protams, ir noskaidrot, vai tas atbilst kādam fotoattēlam, kas atrodas zināmā bērnu seksuālās vardarbības materiāla (CSAM) datubāzē. Šo datu bāzi uztur Nacionālais pazudušo un izmantoto bērnu centrs (NCMEC).



Šī skenēšana tiek veikta, izmantojot saukto fotoattēlu digitālos pirkstu nospiedumus hashes nevis pašas fotogrāfijas. CSAM datubāzē ir jauktas, un tālrunis iegūst jaukumus no jūsu fotoattēliem, pirms tie tiek skenēti, lai atrastu atbilstības. Apple var pateikt, ka atbilstība tika atrasta tikai pēc tam, kad pietiekams skaits fotoattēlu jaucēju ir atbilst iepriekš iestatītam (un nezināmam) slieksnim. Kad šis atbilstības skaits ir sasniegts, attiecīgie fotoattēli tiek nosūtīti Apple pārskatīšanai. Ja pārskatītājs apstiprina atbilstību, fotoattēli tiek nosūtīti uz NCMEC un lietotāja konts tiek atspējots.

iMessage skenēšana un vecāku paziņojumi

Otrais mehānisms ir saistīts ar iMessage ziņojumapmaiņas lietotni. iMessage nedaudz atšķiras no parastajām īsziņām, jo ​​tā darbojas internetā un ir pilnībā šifrēta. Izmantojot pilnīgu šifrēšanu, jūsu ziņojums (un visi tajā iekļautie pielikumi) tiek šifrēti jūsu ierīcē, pirms tas tiek nosūtīts internetā. Tādā veidā tikai jūs un paredzētais adresāts varēsit lasīt ziņojumu. Ja kāda trešā puse pārtvertu ziņojumu sūtīšanas laikā, viņi redzētu tikai mēli. Pat ja pilnībā šifrētais ziņojums tiek glabāts serverī kaut kur, pirms ziņojuma adresāts to var lejupielādēt, tas jau ir šifrēts. Tātad atkal ikviens, kurš mēģinātu izlasīt ziņojumu, neredzētu neko citu kā vien absurdu nejaušu rakstzīmju virkni.

Ierosinātais mehānisms attiecībā uz iMessage darbotos šādi:

Kad iMessage lietotāji, kas jaunāki par 13 gadiem, kopīgo fotoattēlus savā starpā, šie fotoattēli tiek skenēti, izmantojot mašīnmācīšanās algoritmu. Ja attēls tiek uzskatīts par “seksuāla rakstura” materiālu, lietotājam tiek parādīta uzvedne, piedāvājot izvēlēties vienu no tālāk norādītajām darbībām.

  1. nesūtīt un nesaņemt fotoattēlu, vai
  2. lai nosūtītu vai saņemtu attēlu.

Ja lietotājs izvēlas 1. opciju, nekas nenotiek. Ja lietotājs tomēr izvēlas nosūtīt vai saņemt fotoattēlu, vecāku konts tiek informēts, kā tas ir konfigurēts ģimenes koplietošanas plānā. To var atspējot vecāku kontā.

Ierosinātā sistēma arī skenētu fotoattēlus, kurus, izmantojot iMessage, nosūtījuši lietotāji vecumā no 13 līdz 17 gadiem. Šādos gadījumos tiek parādīts brīdinājums par “seksuāla rakstura” attēla nosūtīšanu vai saņemšanu, nenosūtot paziņojumu vecākiem.

Tātad, kas ir nepareizi?

A New York Times op-ed , ko uzrakstījis drošības pētnieks Metjū D. Grīns un drošības pētnieks un bijušais Facebook galvenais drošības virsnieks Alekss Stamoss, daiļrunīgi izklāsta Apple piedāvātās shēmas problēmas būtību:

Šajā plānā iekļautā tehnoloģija ir principiāli jauna. Kamēr Facebook un Google jau sen ir skenējuši fotoattēlus, ko cilvēki kopīgo savās platformās, viņu sistēmas neapstrādā failus jūsu datorā vai tālrunī. Tā kā Apple jaunie rīki spēj apstrādāt jūsu tālrunī saglabātos failus, tie rada jaunus draudus privātumam.

Kādi tieši ir šie jaunie privātuma apdraudējumi?

ICloud augšupielādes skenēšana

Daudzi uzņēmumi jau skenē savos serveros augšupielādēto saturu. Un Apple plāns izskatās tāpat kā Microsoft PhotoDNA shēma. Tomēr pastāv būtiska atšķirība abu sistēmu darbībā. Microsoft PhotoDNA notiek tās serveros pēc fotoattēla augšupielādes. Apple skenēšana notiks tieši jūsu ierīcē, pirms tā tiks augšupielādēta tās serveros. Apple pieeja rada vairākas problēmas.

  • CSAM datu bāze, kas būtu iekļauta operētājsistēmā, ir neauditējama. Tas rada jautājumu par to, kam īsti pieder iPhone. Tālrunis automātiski skenē jūsu saturu un salīdzina to ar necaurspīdīgu datu bāzi, kurai jums nav piekļuves.
  • Jūsu ierīce jums nepaziņos, ja ir atrasta atbilstība.
  • Pat ja lietotāji tika informēti, apstrādātie attēli tiek pārveidoti par jaukšanu, tāpēc lietotājs nevar identificēt fotoattēlu(-us), kas var tikt atzīmēts(-i).

Vēl viens drauds privātumam, kas tiek regulāri minēts, ir tas, ka Apple iCloud fotoattēlu skenēšana skenēs katru fotoattēlu, kas augšupielādēts iCloud — ne tikai fotoattēlus, kas jaunāki par 13 gadiem, un ne tikai fotoattēlus ar seksuālu saturu, bet arī katru fotoattēlu, ko lietotāji izvēlas augšupielādēt pakalpojumā iCloud.

Varētu norādīt, ka katrs Microsoft serveros augšupielādētais fotoattēls arī tiek skenēts, un tie būtu pareizi. Tomēr skenēšana nenotiek jūsu ierīcē. Tas notiek Microsoft serveros. Microsoft pieeja ir mazāk invazīva, jo tā nevērš jūsu ierīci pret jums. Tas jūsu tālrunī neielādē virtuālu morālu policistu. Kā norāda Electronic Frontier Foundation (EFF) – bezpeļņas organizācija, kuras mērķis ir aizsargāt digitālo privātumu, vārda brīvību un inovācijas,

Nekļūdieties: tas ir privātuma samazinājums visiem iCloud Photos lietotājiem, nevis uzlabojums.

Un atkal neviens nav pret tikumu. Cīņa pret bērnu seksuālo izmantošanu ir slavējama un svarīga. Un bērnu seksuālā izmantošana ir a ļoti reāla problēma . Taču ir arī svarīgi, lai mūsu izvēlētie risinājumi būtu samērīgi un neradītu jaunas problēmas, kas skar visus lietotājus.

Pilnīgas šifrēšanas solījuma laušana

Kā jau minēju iepriekš, Apple ziņojumapmaiņas lietotne iMessage ir pilnībā šifrēta. Pilnīgas šifrēšanas solījums ir tāds, ka tikai jūs un jūsu paredzētais adresāts varat skatīt viens otram nosūtīto ziņojumu saturu.

Apple priekšlikums nepārkāpj šifrēšanu, un Apple apgalvo, ka tas nerada aizmugures durvis. Bet kā drošības pētnieks Brūss Šneiers valstis,

Ideja ir tāda, ka viņi nepieskartos kriptogrāfijai, bet gan noklausās sakarus un sistēmas pirms šifrēšanas vai pēc atšifrēšanas. Tās nav kriptogrāfiskas aizmugures durvis, taču tās joprojām ir aizmugures durvis — un līdzi ir visas aizmugures nedrošības.

Pieņemsim, ka sistēma skenē jūsu ziņojumus, pirms tie tiek šifrēti, un, iespējams, nosūta satura kopiju (bez jūsu ziņas) trešajai pusei — jauktu vai ne. Tas ir vairāk cilvēku nekā tikai jūs un jūsu paredzētais adresāts, un tas pārkāpj solījumu par pilnīgu šifrēšanu.

Šneiers tālāk norāda ka Apple mainīja savu “pilnīgas šifrēšanas” definīciju FAQ tā tika izlaista, lai izskaidrotu, kā shēma darbojas. No FAQ:

“Vai tas pārtrauc tiešu šifrēšanu pakalpojumā Ziņojumi?

Nē. Tas nemaina pakalpojuma Ziņojumi konfidencialitātes garantijas, un Apple nekad neiegūst piekļuvi saziņai šīs funkcijas dēļ. Jebkurš ziņu lietotājs, tostarp tie, kuriem ir iespējota sakaru drošība, saglabā kontroli pār to, kas un kam tiek nosūtīts. Ja šī funkcija ir iespējota bērna kontam, ierīce novērtēs attēlus lietotnē Ziņojumi un veiks iejaukšanos, ja tiks noteikts, ka attēls ir seksuāla rakstura. Kontiem, kuros bērni ir jaunāki par 12 gadiem, vecāki var iestatīt vecāku paziņojumus, kas tiks nosūtīti, ja bērns apstiprinās un nosūtīs vai skatīs attēlu, kas ir noteikts kā seksuāla rakstura. Neviena no saziņas, attēlu novērtēšanas, iejaukšanās vai paziņojumiem nav pieejama Apple.

Šneiers pamatoti norāda, ka saskaņā ar Apple pilnīgu šifrēšana vairs nenozīmē, ka tikai jūs un jūsu paredzētais adresāts esat vienīgie, kas var skatīt ziņojumus. Tas tagaddažreiznoteiktos apstākļos ietver trešo personu. Neatkarīgi no tā, vai trešā puse tiek efektīvi informēta, solījums par pilnīgu šifrēšanu tiek pārkāpts (vai šajā gadījumā tiek definēts no jauna).

Viltus pozitīvi?

Tad ir jautājums par viltus pozitīvi . “Izteikti seksuāli” var nozīmēt daudzas lietas: no acīmredzami acīmredzamā līdz smalkākam un ne tik skaidram. Un jau daudzi tā sauktie “porno filtri”. pārmērīgi cenzēt saturu . Kāpēc Apple sistēma būtu savādāka?

Kāda būs peldkostīmu fotogrāfijām, zīdīšanas fotogrāfijām, kailmākslas, izglītojoša satura, veselības informācijas vai atbalsta vēstījumiem?

Tehnoloģiju uzņēmumiem nav vislabākie sasniegumi, lai atšķirtu pornogrāfiju no mākslas vai cita nepornogrāfiska satura. Un jo īpaši LGBTQ+ kopiena ir pakļauta riskam pārmērīga cenzūra . Var apgalvot, ka jaunietis, kurš pēta savu seksuālo orientāciju vai dzimumu, var mēģināt skatīt vīriešu un sieviešu ķermeņa kailu attēlus. Tam nevajadzētu būt strīdīgam. Taču šī persona riskētu saņemt savus fotoattēlus atzīmētus un nosūtītus trešajai pusei.

Ne tikai tas, bet arī tad, ja kādu no šiem attēliem, izmantojot iMessage, nosūtītu jaunāki par 13 gadiem, ar šo funkciju iespējotu viņu vecāki, Apple skenēšanas mehānisms varētu tos nosūtīt viņu potenciāli nejūtīgajiem vecākiem, kas varētu būt postoši un radīt milzīgas sekas jaunība. Un kā ir ar jaunu cilvēku, kuru vienkārši ievilina kailfoto (mēs visi esam tur bijuši, vai ne?), bet kam tad ir vardarbīgi vecāki? Un šajā situācijā ir daudz jauniešu. Apple ziņošanas shēma var radīt vairāk kaitējuma nekā laba tiem, kurus tā cenšas aizsargāt.

Dažas nogāzes ir patiesi slidenas

Daudzi drošības eksperti mums ir stāstījuši par gadiem ka vienkārši nav iespējams izveidot klienta puses skenēšanas mehānismu, ko var izmantot tikai, lai atlasītu seksuāla rakstura attēlus, ko sūta vai saņem bērni. Lai cik labi tas būtu, šāda sistēma pārkāpj ziņojuma šifrēšanas pamatprincipus un nodrošina labvēlīgu augsni plašākai ļaunprātīgai izmantošanai, viņi saka.

Šis punkts ir atkarīgs no tā, ka tiešām nebūtu jāpieliek lielas pūles, lai skenēšanu paplašinātu līdz papildu satura veidiem. Lai to panāktu, Apple vienkārši jāpaplašina mašīnmācīšanās parametri. Vēl viens vienkāršs “kniebiens” būtu konfigurācijas karodziņu modificēšana, lai skenētu ikviena kontu – ne tikai tos, kas pieder bērniem.

Tas ir tieši tāds “paplašinājums”, kādu mēs esam redzējuši ar Globālais interneta forums terorisma apkarošanai (GIFCT) . Sākotnēji tas tika izstrādāts, lai skenētu un jauktu bērnu seksuālas vardarbības attēlus, taču tas tika pārveidots, lai izveidotu zināmu “teroristu” satura datubāzi. GIFCT darbojas bez uzraudzības, un tas ir cenzējis likumīgu runu, piemēram, vardarbības, pretrunas, mākslas un satīras dokumentēšanu kā “teroristu saturu”.

Sistēmas paplašināšana patiešām nevar būt vienkāršāka, un nav tehnisku līdzekļu, lai skenēšanu ierobežotu līdz CSAM. Viss, kas jādara, ir jāpievieno papildu vienumi hash datu bāzei, un arī šie vienumi tiks bloķēti vai par tiem tiks ziņots. Tas varētu nozīmēt tādas lietas kā protesta fotoattēli, pirātiskie plašsaziņas līdzekļi, trauksmes cēlēju pierādījumi utt. Un tā kā datubāzē ir tikai attēlu jauktas un ka CSAM attēlu jauktas nav atšķiramas no citām, kas nav CSAM, nav tehnisku līdzekļu, lai ierobežotu shēmu ar CSAM. tikai hashes.

EZF pat uzrakstīja an atklāta vēstule Apple vadītājam Tims Kuks vairāk nekā 90 ASV un starptautisko organizāciju koalīcijas vārdā, kas nodarbojas ar civiltiesībām, digitālajām tiesībām un cilvēktiesībām, tostarp pašu EZF. Tajā viņi lūdz Apple atteikties no shēmas ieviešanas. No vēstules:

“Kad šī iespēja būs iebūvēta Apple produktos, uzņēmums un tā konkurenti saskarsies ar milzīgu spiedienu un, iespējams, juridiskajām prasībām, no valdību puses visā pasaulē, lai skenētu fotoattēlus ne tikai CSAM, bet arī citiem attēliem, kurus valdība uzskata par nepieņemamiem. Šie attēli var būt ar cilvēktiesību pārkāpumiem, politiskiem protestiem, attēliem, ko uzņēmumi ir atzīmējuši kā “teroristu” vai vardarbīgu ekstrēmistisku saturu, vai pat neglaimojošus attēlus ar tiešiem politiķiem, kuri piespiedīs uzņēmumu tos meklēt. Un šis spiediens varētu attiekties uz visiem ierīcē saglabātajiem attēliem, ne tikai tiem, kas augšupielādēti pakalpojumā iCloud. Tādējādi Apple būs licis pamatu cenzūrai, uzraudzībai un vajāšanai globālā mērogā.

Aizmugures durvis ir aizmugures durvis

Tas bija dīvains solis, ko veica Apple, uzņēmums, kas pēdējos gados ir aizstāvējis lietotāju privātumu. Un gandrīz vienprātīgā pretreakcija, kas radās pēc sākotnējā paziņojuma, ir likusi Apple atlikt tā ieviešanu. Bet šī, šķiet, ir tikai jaunākā nodaļa tajā, kas tiek dēvēta par Kripto kari – ASV valdības un tās sabiedroto mēģinājumi ierobežot ārvalstu un plašas sabiedrības piekļuvi spēcīgai šifrēšanai.

Gadu gaitā ir bijuši dažādi mēģinājumi vājināt, pārtraukt vai aizliegt plašai sabiedrībai paredzētu šifrēšanu. Šis pēdējais mēģinājums apiet šifrēšanas problēmu, piedāvājot ierīcē veikt satura skenēšanu pirms šifrēšanas. No pirmā acu uzmetiena tas var šķist nekaitīgāks. Bet, kā saka, cūkai var uzklāt lūpu krāsu, bet tā joprojām ir cūka.

Jūs nevarat pārtraukt (vai apiet) ļauno puišu šifrēšanu, vienlaikus nepārkāpjot to labajiem. Un šifrēšanas pārtraukšana ikvienam nav dzīvotspējīgs risinājums neatkarīgi no tā, cik slavējams ir izvirzītais mērķis. Sabiedrības kaitējums, kas var rasties bez spējas aizsargāt mūsu sakarus, ir neizmērojams. Un, lai gan tā, protams, ir sarežģīta problēma, kas jāatrisina, mums jārīkojas uzmanīgi.

^