Как работает хищник (Carnivore - программа ФБР)

Carder

Carder

Professional
Messages
2,619
Reaction score
1,882
Points
113
carnivore-fbiseal.gif

Возможно, вы слышали о Carnivore, противоречивой программе, разработанной Федеральным бюро расследований США (ФБР), чтобы предоставить агентству доступ к действиям подозреваемых преступников в Интернете и по электронной почте. Для многих это пугающе напоминает книгу Джорджа Оруэлла «1984». Хотя ФБР отказалось от Carnivore в пользу коммерчески доступного программного обеспечения для подслушивания к январю 2005 года, программа, которая когда-то обещала возобновить особое влияние ФБР в мире компьютерного мониторинга коммуникаций, тем не менее интригует по своей структуре и применению.

СОДЕРЖАНИЕ
  1. Эволюция программы
  2. Анализ пакетов
  3. Процесс работы программы
  4. Добыча хищника

Эволюция программы​

Carnivore - третье поколение программного обеспечения для онлайн-обнаружения, которое использовало ФБР. Хотя информация о первой версии никогда не разглашалась, многие считают, что на самом деле это была легкодоступная коммерческая программа под названием Etherpeek.

В 1997 году ФБР развернуло программу второго поколения «Omnivore». Согласно информации, опубликованной ФБР, Omnivore был разработан для просмотра трафика электронной почты, передаваемого через определенного интернет-провайдера (ISP), и захвата электронной почты из целевого источника, сохранения ее на ленточном накопителе или печати. в реальном времени. В конце 1999 года Omnivore отказались от использования более комплексной системы, DragonWare Suite, которая позволяла ФБР восстанавливать сообщения электронной почты, загруженные файлы или даже веб-страницы.

DragonWare состояла из трех частей:
  • Carnivore - система на базе Windows NT / 2000, которая собирает информацию.
  • Packeteer - Официальной информации не опубликовано, но предположительно приложение для повторной сборки пакетов в связные сообщения или веб-страницы.
  • Coolminer - Официальной информации не опубликовано, но предположительно приложение для экстраполяции и анализа данных, найденных в сообщениях.
Как видите, официальные лица никогда не публиковали много информации о DragonWare Suite, ничего о Packeteer и Coolminer и очень мало подробной информации о Carnivore. Но мы знаем, что Carnivore был в основном анализатором пакетов, технологией, которая довольно распространена и существует уже некоторое время.

Анализ пакетов​

Администраторы компьютерных сетей годами использовали анализаторы пакетов для мониторинга своих сетей и выполнения диагностических тестов или устранения проблем. По сути, сниффер пакетов - это программа, которая может видеть всю информацию, передаваемую по сети, к которой он подключен. По мере того как данные передаются по сети взад и вперед, программа просматривает или «обнюхивает» каждый пакет.

Обычно компьютер просматривает только адресованные ему пакеты и игнорирует остальной трафик в сети. Когда на компьютере установлен анализатор пакетов, сетевой интерфейс анализатора устанавливается в неразборчивый режим. Это означает, что он смотрит на все, что проходит. Объем трафика во многом зависит от расположения компьютера в сети. Клиентская система, находящаяся в изолированном ответвлении сети, видит только небольшой сегмент сетевого трафика, в то время как главный сервер домена видит почти весь его.

Сниффер пакетов обычно можно настроить одним из двух способов:
  • Нефильтрованный - захватывает все пакеты
  • Фильтрованный - захватывает только те пакеты, которые содержат определенные элементы данных.
Пакеты, содержащие целевые данные, копируются по мере прохождения. Программа хранит копии в памяти или на жестком диске, в зависимости от конфигурации программы. Затем эти копии можно тщательно проанализировать на предмет конкретной информации или шаблонов.

Когда вы подключаетесь к Интернету, вы подключаетесь к сети, поддерживаемой вашим интернет-провайдером. Сеть Интернет-провайдера взаимодействует с другими сетями, поддерживаемыми другими Интернет-провайдерами, чтобы сформировать основу Интернета. Сниффер пакетов, расположенный на одном из серверов вашего интернет-провайдера, потенциально сможет отслеживать все ваши действия в сети, например:
  • Какие веб-сайты вы посещаете
  • Что вы смотрите на сайте
  • Кому вы отправляете электронное письмо
  • Что в электронном письме, которое вы отправляете
  • Что вы скачиваете с сайта
  • Какие потоковые события вы используете, например аудио, видео и интернет-телефонию.
  • Кто посещает ваш сайт (если у вас есть веб-сайт)
Фактически, многие интернет-провайдеры используют анализаторы пакетов в качестве диагностических инструментов. Кроме того, многие интернет-провайдеры поддерживают копии данных, таких как электронная почта, как часть своих систем резервного копирования. Carnivore и его родственные программы были спорным шагом вперед для ФБР, но они не были новой технологией.

Процесс работы программы​

carnivore-email.gif

Теперь, когда вы немного знаете, что такое Carnivore, давайте посмотрим, как это работало:
У ФБР есть обоснованные подозрения в том, что кто-то занимается преступной деятельностью, и запрашивает постановление суда о проверке онлайн-активности подозреваемого. Суд удовлетворяет запрос только на полное прослушивание электронной почты и выдает приказ.

Термин «прослушка содержимого», используемый в телефонном наблюдении, означает, что все, что есть в пакете, может быть захвачено и использовано. Другой тип прослушки - это метод «ловушка и отслеживание», что означает, что ФБР может фиксировать только информацию о месте назначения, такую как учетная запись электронной почты отправляемого сообщения или адрес веб-сайта, который посещает подозреваемый. Обратная форма ловушки и отслеживания, называемая регистратором пера, отслеживает, откуда приходит электронное письмо подозреваемому или откуда приходят посещения веб-сайта подозреваемого.

ФБР связывается с интернет-провайдером подозреваемого и запрашивает копию резервных копий файлов деятельности подозреваемого. ФБР устанавливает компьютер Carnivore у провайдера, чтобы отслеживать действия подозреваемого. В состав компьютера входят:
  • Система Pentium III Windows NT / 2000 со 128 мегабайтами (МБ) ОЗУ
  • Программное обеспечение для коммерческих коммуникаций
  • Специальное приложение на C++, которое работает вместе с указанной выше коммерческой программой, обеспечивая анализ и фильтрацию пакетов.
  • Тип физической системы блокировки, для которой требуется специальный пароль для доступа к компьютеру (это не позволяет никому, кроме ФБР, получить физический доступ к системе Carnivore).
  • Устройство сетевой изоляции, которое делает систему Carnivore невидимой для чего-либо еще в сети (это предотвращает взлом системы с другого компьютера).
  • Привод Iomega Jaz емкостью 2 ГБ для хранения захваченных данных (в приводе Jaz используются съемные картриджи емкостью 2 ГБ, которые можно заменить так же легко, как и дискету).
ФБР настраивает программное обеспечение Carnivore с IP-адресом подозреваемого, чтобы Carnivore мог захватывать пакеты только из этого конкретного места. Все остальные пакеты игнорируются. Carnivore копирует все пакеты из системы подозреваемого, не препятствуя прохождению сетевого трафика. После того, как копии сделаны, они проходят через фильтр, который сохраняет только пакеты электронной почты. Программа определяет, что содержат пакеты, на основе протокола пакета. Например, все пакеты электронной почты используют простой протокол передачи почты (SMTP). Пакеты электронной почты сохраняются на картридже Jaz. Раз в день или два агент ФБР посещает провайдера и меняет картридж Jaz. Агент берет извлеченный картридж и кладет его в контейнер с датой и запечатанный. Если печать сломана, лицо, нарушившее ее, должно подписать, поставить дату и снова запечатать картридж - в противном случае картридж можно считать «скомпрометированным». Наблюдение не может продолжаться более месяца без разрешения суда. После завершения ФБР удаляет систему у интернет-провайдера. Собранные данные обрабатываются с помощью Packeteer и Coolminer. Если результаты предоставляют достаточно доказательств, ФБР может использовать их как часть дела против подозреваемого.

Интернет-провайдер не поддерживает данные об активности клиентов в качестве части резервного копирования.
В приведенном выше примере показано, как система определила, какие пакеты хранить.

Добыча хищника​

ФБР планирует использовать Carnivore по определенным причинам. В частности, агентство запрашивало судебный приказ об использовании Carnivore, когда человек подозревался в:
  • Терроризм
  • Детская порнография / эксплуатация
  • Шпионаж
  • Информационная война
  • Мошенничество

Есть несколько ключевых вопросов, которые вызвали серьезную озабоченность из разных источников:
  • Конфиденциальность - Многие люди рассматривали Carnivore как серьезное нарушение конфиденциальности. Хотя вероятность злоупотреблений, безусловно, существует, Закон о конфиденциальности электронных коммуникаций (ECPA) обеспечивает правовую защиту конфиденциальности для всех типов электронных коммуникаций. Любой вид электронного наблюдения требует постановления суда и должен показать вероятную причину того, что подозреваемый участвует в преступной деятельности. Следовательно, использование Carnivore любым способом, не соответствующим ECPA, является незаконным и может считаться неконституционным.
  • Регулирование. Было широко распространено мнение, что Carnivore - это огромная система, которая может позволить правительству США захватить контроль над Интернетом и регулировать его использование. Для этого потребовалась бы потрясающая инфраструктура - ФБР пришлось бы разместить системы Carnivore у всех интернет-провайдеров, включая частные, коммерческие и образовательные. Хотя теоретически это возможно сделать для всех интернет-провайдеров, работающих в Соединенных Штатах, по-прежнему нет способа регулировать деятельность тех, кто работает за пределами юрисдикции США. Любой такой шаг также встретил бы серьезное сопротивление со всех сторон.
  • Свобода слова. Некоторые люди думают, что Carnivore отслеживал весь контент, проходящий через интернет-провайдера, в поисках определенных ключевых слов, таких как «бомба» или «убийство». Любой анализатор пакетов может быть настроен на поиск определенных шаблонов символов или данных. Однако без веской причины у ФБР не было оправдания для отслеживания вашей онлайн-активности, и, если бы оно поступило, оно бы серьезно нарушило ECPA и ваше конституционное право на свободу слова.
  • Echelon - это секретная сеть, которую, по слухам, разрабатывает Агентство национальной безопасности (АНБ), якобы предназначенная для обнаружения и захвата пакетов, пересекающих международные границы и содержащих определенные ключевые слова, такие как «бомба» или «убийство». Нет никаких веских доказательств, подтверждающих существование Echelon. Многие люди путали эту систему с системой Carnivore.
Все эти опасения сделали реализацию Carnivore тяжелой битвой для ФБР. ФБР отказалось раскрыть исходный код и некоторые другие части технической информации о Carnivore, что только усугубило обеспокоенность людей. Но пока он использовался в рамках ограничений и руководящих принципов ECPA, Carnivore потенциально мог стать полезным оружием в войне с преступностью.
 
You must log in or register to reply here.

Similar threads

chushpan
Противостояние кардеров и ФБР
Replies
0
Views
78
chushpan
chushpan
Man
ФБР прорывает «анонимность» криптовалюты и секретных регистраторов доменов в ходе расследования Scattered Spider
Replies
0
Views
123
Man
Man
chushpan
Как искать товары и интернет-магазины
Replies
0
Views
194
chushpan
chushpan
chushpan
Как работает VPN
Replies
1
Views
83
Man
Man
chushpan
Как работает дедик
Replies
1
Views
76
Man
Man
Back
Top