Missbrauchspotential: Zwei Bilder ein Hashwert

[dtp]

Warte nur, das kommt alles noch

Vielleicht doch lieber nicht Grün wählen?

 

[SomeUser]

“Fanatasien, Spekulationen, Verschwörungsängste“

Kann man so sehen, ist aber halt faktisch falsch und daher dumm.

Aber komm, schauen wir uns doch mal die Fakten an:
Die EU hat gerade erst vor kurzem den Anbietern erlaubt Nachrichten und andere Inhalte in Echtzeit nach verdächtigen Inhalten zu durchsuchen. Das ganze ist unter dem Begriff "ePrivacy-Ausnahmeverordnung" bekannt.

Das reicht noch nicht? Richtig! Denn der nächste Schritt ist ja schon auf dem Weg: https://ec.europa.eu/info/law/bette...rnung-und-Meldung-illegaler-Online-Inhalte_de
Über die Vorlage zur Folgeverordnung zum VERPFLICHTENDEN Einsatz jener Kontrollmaßnahmen soll noch im Herbst diesen Jahres abgestimmt werden.

Wir haben also voraussichtlich schon ab diesem Herbst eine Verpflichtung der Anbieter ALLE Chats und Email auf "verdächtige" Inhalte zu durchsuchen. Ohne richterliche Anordnung o.ä. Damit wird zwingend auch notwendig, weitere Inhalte zu definieren, die dann weitere Prüfungen auslösen. Wenn du also demnächst deiner Freundin beim heißen Sexting schreibst, was du mit ihrer "engen R*tze" machen möchtest - könnte das auch schon ein Trigger sein, der dich in die nächste Runde bringt: Nämlich dafür, dass jemand sich diesen höchst intimen Chat durchliest.

Übrigens, dass diese Daten quasi vollständig und für eigene Verwertung mit den USA (und ggf. weiteren Ländern) ausgetauscht werden soll, ist sicher auch kein Thema, oder?

Und vergessen wir nicht: Das ist tatsächlich erst der Aufschlag dazu.



// NACHTRAG //
Bevor jetzt das Argument mit der Verschlüsselung aufkommt, die einen ja schützen könnte. Keine Sorge, selbst dort, wo es (noch) Verschlüsselung gibt, erfährt es gerade im Zusammenhang mit den o.g. laufenden Änderungen gerade wieder das Aufkommen der folgenden Bestrebung: https://www.heise.de/newsticker/mel...lem-der-Verschluesselung-angehen-4721793.html

Das "Problem der Verschlüsselung" könnte also in einem Abwasch gleich mit erledigt werden - durch entsprechendes Verbot.

 

[Plumpsklo]

“Fanatasien, Spekulationen, Verschwörungsängste“

Schritt für Schritt, schleichend, in die Totalüberwachung. Wer einmal die Tür öffnet, der geht auch hinein.

 

[paul.mbp]

@SomeUser …da läuft einem der kalte Schauer den Rücken runter. Das ist 1984 und Stasi im Quadrat.

Sehen die Verantwortlichen tatsächlich in allen Bürgern potentielleTerrorist:innen die sich die Langeweile bis zum nächsten Attentat mit KiPo vertreiben?

😡😡😡

 

[Carcharoth]

Sehen die Verantwortlichen tatsächlich in allen Bürgern potentielleTerrorist:innen

Ja. Wusstest du das nicht?

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Drittanbieter-Cookies akzeptieren

 

[ottomane]

Die EU hat gerade erst vor kurzem den Anbietern erlaubt Nachrichten und andere Inhalte in Echtzeit nach verdächtigen Inhalten zu durchsuchen. Das ganze ist unter dem Begriff "ePrivacy-Ausnahmeverordnung" bekannt.

Das reicht noch nicht? Richtig! Denn der nächste Schritt ist ja schon auf dem Weg: https://ec.europa.eu/info/law/bette...rnung-und-Meldung-illegaler-Online-Inhalte_de
Über die Vorlage zur Folgeverordnung zum VERPFLICHTENDEN Einsatz jener Kontrollmaßnahmen soll noch im Herbst diesen Jahres abgestimmt werden.

Im Unterschied zu der Apple-Aktion ist das aber zumindest formell demokratisch legitimiert.

Besser wird es dadurch natürlich trotzdem nicht. Willkommen in der Volksrepublik EU.

 

[SomeUser]

Im Unterschied zu der Apple-Aktion ist das aber zumindest formell demokratisch legitimiert.

Besser wird es dadurch natürlich trotzdem nicht. Willkommen in der Volksrepublik EU.

Ich habe auch nicht die Rechtmäßigkeit der Maßnahme in Frage gestellt, sondern aufgezeigt, dass jene Beiträge im Sinne von "Das wird alles nicht schlimmer und ist nur Verschwörungskram bzw. Spekulation" barer Unsinn sind.

Im Übrigen legitimiert das natürlich auch Apples Vorgehen - spätestens ab Herbst VERPFLICHTET es sie sogar.

 

[ottomane]

Ich habe auch nicht die Rechtmäßigkeit der Maßnahme in Frage gestellt,

Das wollte ich damit auch nicht ausdrücken. Vielmehr wollte ich grundsätzlich darauf hinweisen, dass es da noch einen wichtigen Unterschied gibt.

Im Übrigen legitimiert das natürlich auch Apples Vorgehen - spätestens ab Herbst VERPFLICHTET es sie sogar.

So ist es. Vielleicht sollte Apple das auch mal kommunizieren.

 

[SomeUser]

So ist es. Vielleicht sollte Apple das auch mal kommunizieren.

Damit würden sie sich im Moment(!) ins eigene Fleisch schneiden, denn das was sie aktuell machen könnte man bestenfalls als "vorauseilenden Gehorsam" bezeichnen. Es wäre ja etwas anderes, wenn man sagen würde: "Es ist JETZT gesetzliche Verpflichtung, der wir nachkommen MÜSSEN". Aktuell wäre es aber nur: "WAHRSCHEINLICH kommt da was, aber DENNOCH machen wir das jetzt schon mal."

Aktuell würde es ihre Argumentationslinie als nicht wirklich stärken. Da ist es tatsächlich sinnvoller, dass weeeeit von politischen Begründungen und Diskussionen fern zu halten und stattdessen zu versuchen, die technische "Sicherheit" des Systems darzustellen.

 

[Jan Gruber]

“Fanatasien, Spekulationen, Verschwörungsängste“

Ich nehme an das war zynisch von dir und so die gängigen Argumente der Gegenpartei, oder? Fantasie ist da ja keine dran, dass Apple mit Spyware auf meinem Gerät laufen lässt. Es ist ne Frage des Framings, und zugegeben ist das etwas polemisch, aber man kanns schon so nennen. Das andere Problem ist halt dass wir diese Diskussion IMMER mit Kindesmissbrauch führen müssen. Das ist eine wandelnde Polemtik und ich habs satt der Old White Dude zu sein dem sie dann in den Mundlegen "Also findest du Kindesmissbrauch toll?" Nein ,... aber das ist ein Stellvertreterkrieg den ich echt leid bin.

Was mich aber mal interessieren würde ,... Diese ganzen Scans laufen ja schon in der Cloud lange. Bei Apple, bei Google, bei Facebook. Ich will da jetzt keine Diskussion anfangen ob das in Ordnung ist oder nicht - Cloud ist nunmal "jemand anderes Computer" - aber was anderes würde mich interessieren: Wie viele Fälle wurden gemeldet und was brachte es am ENde? Wie viele Verhaftungen gab es da?

 

[ottomane]

Wie viele Fälle wurden gemeldet

Hier gibt es von jemandem, der das scheinbar einschätzen kann, ein Statement:

In an announcement titled "Expanded Protections for Children", Apple explains their focus on preventing child exploitation.

The article starts with Apple pointing out that the spread of Child Sexual Abuse Material (CSAM) is a problem. I agree, it is a problem. At my FotoForensics service, I typically submit a few CSAM reports (or "CP" -- photo of child pornography) per day to the National Center for Missing and Exploited Children (NCMEC). (It's actually written into Federal law: 18 U.S.C. § 2258A. Only NMCEC can receive CP reports, and 18 USC § 2258A(e) makes it a felony for a service provider to fail to report CP.) I don't permit porn or nudity on my site because sites that permit that kind of content attract CP. By banning users and blocking content, I currently keep porn to about 2-3% of the uploaded content, and CP at less than 0.06%.

According to NCMEC, I submitted 608 reports to NCMEC in 2019, and 523 reports in 2020. In those same years, Apple submitted 205 and 265 reports (respectively). It isn't that Apple doesn't receive more picture than my service, or that they don't have more CP than I receive. Rather, it's that they don't seem to notice and therefore, don't report.

Apple's devices rename pictures in a way that is very distinct. (Filename ballistics spots it really well.) Based on the number of reports that I've submitted to NCMEC, where the image appears to have touched Apple's devices or services, I think that Apple has a very large CP/CSAM problem.

[Revised; thanks CW!] Apple's iCloud service encrypts all data, but Apple has the decryption keys and can use them if there is a warrant. However, nothing in the iCloud terms of service grants Apple access to your pictures for use in research projects, such as developing a CSAM scanner. (Apple can deploy new beta features, but Apple cannot arbitrarily use your data.) In effect, they don't have access to your content for testing their CSAM system.

If Apple wants to crack down on CSAM, then they have to do it on your Apple device. This is what Apple announced: Beginning with iOS 15, Apple will be deploying a CSAM scanner that will run on your device. If it encounters any CSAM content, it will send the file to Apple for confirmation and then they will report it to NCMEC. (Apple wrote in their announcement that their staff "manually reviews each report to confirm there is a match". They cannot manually review it unless they have a copy.)

While I understand the reason for Apple's proposed CSAM solution, there are some serious problems with their implementation.

Quelle: https://www.hackerfactor.com/blog/index.php?/archives/929-One-Bad-Apple.html

 

[Wuchtbrumme]

Was mich aber mal interessieren würde ,... Diese ganzen Scans laufen ja schon in der Cloud lange. Bei Apple, bei Google, bei Facebook. Ich will da jetzt keine Diskussion anfangen ob das in Ordnung ist oder nicht - Cloud ist nunmal "jemand anderes Computer" - aber was anderes würde mich interessieren: Wie viele Fälle wurden gemeldet und was brachte es am ENde? Wie viele Verhaftungen gab es da?

genaue Zahlen habe ich nicht, habe aber mitbekommen, dass die ganzen Interessensvertetungen und Bürgerrechtsvereinigungen wie CCC und EFF sowas angefragt haben und soweit es in Statistiken rauskam, darauf hingewiesen haben, wie sinnlos das war, gemessen am Ertrag - und ich meine weniger den Aufwand, sondern die Aufgabe an Rechtsstaatlichkeit. Man kann natürlich immer noch lamentieren, dass selbst ein einziger Fall vor Gericht etwas Gutes sei blabla, aber machen wir uns doch nichts vor, der Täter wäre nicht nur Arsch, sondern auch dumm. Die ganze Szene hat sich schon längst anders organisiert (muss ich an den NATO-Bunker erinnern? Crime as a service.).

 

[SomeUser]

Moin!

Was mich aber mal interessieren würde ,... Diese ganzen Scans laufen ja schon in der Cloud lange. Bei Apple, bei Google, bei Facebook. Ich will da jetzt keine Diskussion anfangen ob das in Ordnung ist oder nicht - Cloud ist nunmal "jemand anderes Computer" - aber was anderes würde mich interessieren: Wie viele Fälle wurden gemeldet und was brachte es am ENde? Wie viele Verhaftungen gab es da?

Mit der Frage wäre ich eher vorsichtig, weil du dir sofort die Gegenfrage gefallen lassen musst, wie viele Kinder du bereit bist zu opfern?! Ist eine solche Maßnahme ok, wenn wir wissen, dass damit 100 Kinder geschützt würden? Oder 1.000? Nimmst du also die Vergewaltigung von 1.000 Kindern für eine für dich nicht spürbare Maßnahme in Kauf?

Die Fragestellung sollte meiner Meinung frei von solchem Framing geführt werden - es ist vielmehr eine grundsätzliche Entscheidung.

 

[ChavezDing]

Die Fragestellung sollte meiner Meinung frei von solchem Framing geführt werden - es ist vielmehr eine grundsätzliche Entscheidung.

Um ein gewisses Framing wird man bei solchen Entscheidungen nicht herumkommen - es ist eine Abwägung von Interessen. Mit Vor- und Nachteilen auf beiden Seiten.

 

[SomeUser]

Um ein gewisses Framing wird man bei solchen Entscheidungen nicht herumkommen - es ist eine Abwägung von Interessen. Mit Vor- und Nachteilen auf beiden Seiten.

Kann man so sehen - ich teile es nicht. Hart gesagt bin ich der Meinung, dass es überhaupt keine Rolle spielt, ob dadurch 10.000 Kinder von diesem Leid befreit werden könnten. Die Frage der Abwägung stellt sich schlicht nicht. Alle anderen Ermittlungsmethoden sind ZIELGERICHTET. Sie richten sich gegen konkret Verdächtige und/oder deren Umfeld. Sie sind spezifisch.
Jede Maßnahme, die sich nicht zielgerichtet gegen einen bestimmbaren Personenkreis richtet, sondern abstrakt auf eine gesamte Bevölkerung gerichtet ist, kann nur im Zug des Schutzes eines überwiegenden Allgemeininteresses bzw. gesellschaftlichen Schutzgutes (Erhalt der Rechtsstaatlichkeit, Volksgesundheit, Staatsschutz, ...) erfolgen. Die nur theoretische Reduktion von individuellem Leid führt ganz klar nicht zu einer solchen Klassifizierung.
Ansonsten müssten wir sofort ebenso den individuellen Straßenverkehr verbieten, Zwangsimpfungen anordnen, jegliche Form von Alkohol, Drogen und ungesunden Lebensmitteln verbieten u.v.m.

 

[Jan Gruber]

@SomeUser Die Diskussion ohne Framing zu führen ist nicht möglich, da es von Haus aus da ist.
Insofern würde ich das Framing gerne weg kriegen in dem ich nicht nur auf Emotionen bleibe, sondern mal in Richtung Verhältnismäßigkeit ginge. Reine "operationalisierung" einer Diskussion.

 

[paul.mbp]

hier schreibt jemand der täglich damit zu tun hat:

One Bad Apple - The Hacker Factor Blog

www.hackerfactor.com

 

[ottomane]

Daraus hatte ich oben zitiert.

 

[tjp]

Wenn ich das richtig sehe, wurde bei Github eine ziemlich schlechte, ganz offensichtlich nicht kollisionsresistente Funktion benutzt, die Hashwerte mit gerade mal 96 Bit erzeugt. Man kann wohl davon ausgehen, dass CSAM auf einer kryptographisch sicheren Funktion basiert.

Hash Algorithmen sind prinzipiell nicht kollissionsfest, da eine längere Binärinformation auf eine kürzere Binärinformation abgebildet wird. Gute Algorithmen machen es relativ schwer aus einem bekannten Hashwert eine Eingabe zu bauen, die den gleichen Hashwert erzeugt. Das ändert aber nichts daran, dass das bei jedem Hashalgorithmus möglich ist.

 

[MichaNbg]

“Fanatasien, Spekulationen, Verschwörungsängste“

Ich nehme an das war zynisch von dir und so die gängigen Argumente der Gegenpartei, oder?

Kann man so sehen, ist aber halt faktisch falsch und daher dumm.

Ja, das war nur ein zynisches Zitat, was man sich hier im Forum ständig anhören muss. Auch aus Redaktionskreisen. Weil man sich vermutlich nicht wirklich mit der Technik und den bevorstehenden Problemen beschäftigen möchte oder Apple nen Freibrief ausstellt.

Apple says collision in child-abuse hashing system is not a concern

Serious flaw in Apple’s CSAM scanner uncovered.

www.theverge.com

Apple’s child-abuse scanner has serious flaw, researchers say



Und hier mal ein ganz interessanter Artikel zur allgemeinen Einordnung und auch mal ein paar praktischen Zahlen aus diesen Verfahren:

One Bad Apple - The Hacker Factor Blog

www.hackerfactor.com