Een Brits onderzoek naar seksueel misbruik van kinderen, gefaciliteerd door internet, heeft de regering aanbevolen om van apps te eisen dat ze afbeeldingen vooraf screenen voordat ze worden gepubliceerd, om zo een ‘explosie’ in afbeeldingen van seksueel misbruik van kinderen aan te pakken.
De nummer 1 aanbeveling van het onafhankelijke onderzoek naar seksueel misbruik van kinderen (IICSA) verslag, dat donderdag werd gepubliceerd:
De overheid zou de industrie moeten verplichten materiaal vooraf te screenen voordat het naar internet wordt geüpload, om toegang tot bekende onfatsoenlijke afbeeldingen van kinderen te voorkomen.
Hoewel de meeste apps en platforms vereisen dat gebruikers (van niet-kindspecifieke diensten) minstens 13 jaar oud zijn, is hun matte Leeftijds verificatie ondermijnt ook de veiligheid van kinderen online, aldus het onderzoek. Vandaar aanbeveling nr. 3:
De overheid zou wetgeving moeten invoeren die aanbieders van onlinediensten en sociale-mediaplatforms verplicht om strengere technieken voor leeftijdsverificatie op alle relevante apparaten te implementeren.
Het rapport bevatte sombere statistieken. Uit het onderzoek bleek dat er wereldwijd miljoenen onfatsoenlijke afbeeldingen van kinderen in omloop zijn, waarvan sommige een ‘ongekend niveau van verdorvenheid’ bereiken.
De beelden zijn niet alleen “verdorven”; het is ook gemakkelijk te bereiken, aldus het onderzoek, verwijzend naar onderzoek van de National Crime Agency (NCA) die ontdekte dat je afbeeldingen van kinderuitbuiting binnen drie klikken kunt vinden bij het gebruik van reguliere zoekmachines. Volgens het rapport is Groot-Brittannië de derde grootste consument ter wereld van het live streamen van misbruik.
Het rapport beschrijft zo'n geval: dat van broers en zussen die online werden verzorgd door een 57-jarige man die zich voordeed als een 22-jarige vrouw. Hij haalde de twee over tot het uitvoeren van seksuele handelingen voor een webcam en dreigde expliciete beelden van hen online te delen als ze dat niet deden.
Hoe kunnen we het tij keren?
De NCA heeft eerder voorgesteld dat internetbedrijven afbeeldingen scannen op basis van hun hash-database voordat ze worden geüpload. Als inhoud wordt geïdentificeerd als een bekende onfatsoenlijke afbeelding, kan worden voorkomen dat deze wordt geüpload.
Apple, Facebook, Kopen Google Reviews, Onder andere Dropbox en Microsoft scannen automatisch afbeeldingen (en soms video) die naar hun servers zijn geüpload. De NCA zegt dat zij, zoals zij het begrijpt, alleen inhoud screenen na het is gepubliceerd, waardoor beledigende afbeeldingen zich kunnen verspreiden.
Het denken: waarom stoppen we de beelden niet voordat de overtreding plaatsvindt?
Eén reden: dit kan niet zonder de end-to-end-encryptie in bijvoorbeeld WhatsApp of andere privacygerichte diensten en apps uit te schakelen, aldus Matthew Green, cryptograaf en professor aan de Johns Hopkins University. Groente legt uit dat de bekendste scantechnologie gebaseerd is op PhotoDNA: een algoritme ontwikkeld door Microsoft Research en Dr. Hany Farid.
FotoDNA en De machine learning-tool van Google, die het vrijelijk heeft vrijgegeven om het probleem aan te pakken, hebben een gemeenschappelijkheid, zegt Green:
Ze werken alleen als providers […] toegang hebben tot de leesbare tekst van de afbeeldingen om te scannen, meestal op de servers van het platform. End-to-end gecodeerde [E2E]-berichten gooien een steeksleutel in deze systemen. Als de provider het afbeeldingsbestand niet kan lezen, zal geen van deze systemen werken.
Green zegt dat sommige deskundigen hebben voorgesteld een manier om het probleem te omzeilen: providers kunnen het scannen van afbeeldingen van de servers naar de clientapparaten sturen, dat wil zeggen naar uw telefoon, die al over de leesbare tekstgegevens beschikt.
Het clientapparaat kan vervolgens de scan uitvoeren en alleen beelden rapporteren die zijn gemarkeerd als CSAI [beelden van seksueel misbruik van kinderen]. Deze aanpak maakt het niet meer nodig dat servers de meeste van uw gegevens kunnen zien, ten koste van het inschakelen van elk clientapparaat in een gedistribueerd bewakingsnetwerk.
Het probleem met die aanpak? De details van de scanalgoritmen zijn privé. Green vermoedt dat dit komt doordat deze algoritmen “zeer kwetsbaar” zijn en kunnen worden gebruikt om het scannen te omzeilen als ze in verkeerde handen vallen:
Vermoedelijk is de zorg dat criminelen die vrije toegang krijgen tot deze algoritmen en databases in staat zouden kunnen zijn om hun CSAI-inhoud op subtiele wijze te wijzigen, zodat deze ziet er hetzelfde uit voor mensen maar activeert niet langer detectie-algoritmen. Als alternatief kunnen sommige criminelen deze toegang gewoon gebruiken om te voorkomen dat gemarkeerde inhoud helemaal wordt verzonden.
Cryptografen werken aan dit probleem, maar “de duivel zit in de [prestatie] details”, zegt Green.
Betekent dit dat de strijd tegen CSAI niet gewonnen kan worden zonder de E2E-encryptie te verliezen? Zoals het nu is, beveelt het onderzoek snelle actie aan, wat suggereert dat sommige van de aanbevolen stappen vóór eind september moeten worden genomen – waarschijnlijk niet genoeg tijd voor cryptografen om erachter te komen hoe ze beelden effectief vooraf kunnen screenen voordat deze worden gepubliceerd, zoals in, voordat deze wegglijdt. achter de privacymantel van encryptie.
Het rapport van het onderzoek is slechts het laatste van een reeks vernietigende beoordelingen van de rol van sociale media in de verspreiding van misbruikbeelden. Volgens het rapport lijken socialemediabedrijven gemotiveerd om “reputatieschade te voorkomen” in plaats van prioriteit te geven aan de bescherming van slachtoffers.
Prof Alexis Jay, de voorzitter van het onderzoek:
De ernstige dreiging van seksueel misbruik van kinderen, gefaciliteerd door internet, is een urgent probleem dat niet genoeg kan worden benadrukt. Ondanks de technologische vooruitgang in de sector om onlinegefaciliteerd misbruik op te sporen en te bestrijden, lijkt het risico op onmetelijke schade voor kinderen en hun families niet te verminderen.
Internetbedrijven, rechtshandhavingsinstanties en de overheid [moeten] essentiële maatregelen implementeren om prioriteit te geven aan de bescherming van kinderen en om misbruik dat online wordt gefaciliteerd te voorkomen.
Groot-Brittannië en de VS bevinden zich op parallelle wegen in de strijd tegen seksueel misbruik van kinderen via internet, hoewel privacyvoorvechters, althans in de VS, recente politieke stappen beschouwen als slecht verkapte aanvallen op encryptie en privacy. De EARN-IT-wet is daar een goed voorbeeld van: het wetsvoorstel, dat nu zijn weg vindt naar het Congres, is ingediend door wetgevers die het schrikbeeld van online kinderuitbuiting hebben gebruikt om te pleiten voor de verzwakking van encryptie.
Een van de problemen van het EARN IT-wetsvoorstel: de voorgestelde wetgeving “biedt geen zinvolle oplossingen” voor het probleem van de uitbuiting van kinderen, aangezien de Electronic Frontier Foundation (EFF) zegt:
Het helpt organisaties die slachtoffers ondersteunen niet. Het voorziet wetshandhavingsinstanties niet van middelen om claims over uitbuiting van kinderen of training in het gebruik van online platforms om daders te vangen te onderzoeken. Integendeel, de auteurs van het wetsvoorstel hebben slim de verdediging van kinderen gebruikt als voorwendsel voor een aanval op onze online vrijheid van meningsuiting en veiligheid.
Je kunt de Britse en Amerikaanse wettelijke rechten niet rechtstreeks vergelijken. Maar in ieder geval in de VS zeggen juridische analisten dat de EARN IT Act, die internetbedrijven zou dwingen ‘best practices’ te volgen, anders zouden ze worden ontdaan van de Sectie 230-bescherming tegen vervolging voor het publiceren van illegale inhoud, in strijd zou zijn met de Eerste en Vierde Grondwetsamendementen bieden bescherming voor respectievelijk de vrijheid van meningsuiting en onredelijke huiszoekingen.
Particuliere bedrijven zoals Facebook scannen vrijwillig op inbreukmakende inhoud omdat ze geen staatsactoren zijn. Als ze gedwongen worden te screenen, worden ze statelijke actoren, en dan moeten ze (in het algemeen; de jurisprudentie verschilt) juridisch gezien arrestatiebevelen verkrijgen om digitaal bewijsmateriaal te doorzoeken.
Dus, zoals betoogd door Riana Pfefferkorn, Associate Director Surveillance and Cybersecurity bij The Center for Internet and Society aan de Stanford Law School, zou het forceren van scannen ironisch genoeg kunnen leiden tot de onderdrukking door de rechtbank van bewijsmateriaal van de misdaden op het gebied van seksuele uitbuiting van kinderen waarop het wetsvoorstel betrekking heeft.
Hoe zou het in Groot-Brittannië werken? Ik ben geen advocaat, maar als u bekend bent met de Britse wetgeving, kunt u uw mening toevoegen aan het opmerkingengedeelte.
Mark Stockley van Naked Security zag nog een rimpel in de aanbevelingen van het onderzoek over het vooraf screenen van inhoud: het deed hem denken aan artikel 13 van de Europese auteursrechtrichtlijn, ook wel bekend als de mememoordenaar. Het is weer een wettelijke richtlijn die volgens critici een “ongekende stap zet in de richting van de transformatie van het internet, van een open platform voor delen en innovatie, naar een hulpmiddel voor de geautomatiseerde surveillance en controle van zijn gebruikers.”
De richtlijn zal for-profit platforms zoals YouTube, Tumblr en Twitter dwingen om door gebruikers geüploade inhoud proactief te scannen op materiaal dat inbreuk maakt op het auteursrecht. Scannen dat voor kleinere platforms foutgevoelig en onbetaalbaar is. Er zouden geen uitzonderingen worden gemaakt, zelfs niet voor diensten die worden beheerd door particulieren, kleine bedrijven of non-profitorganisaties.
De EU-lidstaten hebben tot 7 juni 2021 de tijd om de nieuwe hervormingen door te voeren, maar tegen die tijd heeft Groot-Brittannië de EU verlaten. Als de BBC In januari meldde minister van Universiteiten en Wetenschap Chris Skidmore dat Groot-Brittannië de EU-auteursrechtrichtlijn niet zal implementeren nadat het land de EU heeft verlaten.
Hoe zit het met de oproep van het onderzoek om web-pre-screening? Zal het in de wet worden omgezet?
Als dat zo is, laten we het je weten.
Nieuwste Naked Security-podcast
LUISTER NU
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt in de podcast te gaan. Je kan ook luister direct op Soundcloud.
