Как работал Carnivore

Как работал Carnivore
Как работал Carnivore
  • 👤 Автор Каминская Екатерина 📧 [email protected].
  • Публикация 2025-03-29 10:48.
  • 🖍 Последние изменения 2025-05-29 20:06.
  • 👁 Просмотров 15.
Агент ФБР за ноутбуком.
Агент ФБР за ноутбуком.

Возможно, вы слышали оCarnivore, спорной программе, разработанной СШАФедеральным бюро расследований (ФБР) для предоставления агентству доступ к онлайн/электронной почте деятельности подозреваемых преступников. Многим она жутко напоминает книгу Джорджа Оруэлла «1984». Хотя к январю 2005 года ФБР отказалось от Carnivore в пользу коммерчески доступного программного обеспечения для подслушивания, программа, которая когда-то обещала возобновить особое влияние ФБР в мире мониторинга компьютерных коммуникаций, тем не менее интригует своей структурой и применением.

Эволюция плотоядных

Carnivore - третье поколение программного обеспечения для онлайн-обнаружения, используемого ФБР. Хотя информация о первой версии никогда не разглашалась, многие считают, что на самом деле это была легкодоступная коммерческая программа под названиемEtherpeek..

В 1997 году ФБР развернуло программу второго поколения,OmnivoreСогласно информации, опубликованной ФБР, Omnivore был разработан для просмотра трафика электронной почты, проходящего через определенныйИнтернет-провайдер(ISP) и перехватить электронную почту из целевого источника, сохранив ее на ленточном накопителе или распечатав ее в режиме реального времени. Omnivore был упразднен в конце 1999 года в пользу более комплексной системыDragonWare Suite, которая позволяла ФБР реконструировать сообщения электронной почты, загруженные файлы или даже веб-страницы.

DragonWare состоит из трех частей:

  • Carnivore - система на базе Windows NT/2000, которая собирает информацию
  • Packeteer - Официальная информация не опубликована, но предположительно приложение для повторной сборки пакетов в связные сообщения или веб-страницы
  • Coolminer - Официальной информации нет, но предположительно приложение для экстраполяции и анализа данных, найденных в сообщениях

Как видите, официальные лица никогда не публиковали много информации о DragonWare Suite, ничего о Packeteer и Coolminer и очень мало подробной информации о Carnivore. Но мы знаем, что Carnivore был в основноманализатором пакетов, технологией, которая довольно распространена и существует уже некоторое время.

Перехват пакетов

Администраторы компьютерных сетей годами использовалианализаторы пакетов для мониторинга своих сетей и выполнения диагностических тестов или устранения неполадок. По сути, анализатор пакетов - это программа, которая может видеть всю информацию, проходящую через сеть, к которой она подключена. Когда данные передаются взад и вперед по сети, программа просматривает или «обнюхивает» каждый пакет.

Обычно компьютер просматривает только адресованные ему пакеты и игнорирует остальной сетевой трафик. Когда на компьютере установлен анализатор пакетов, сетевой интерфейс анализатора устанавливается внеразборчивый режимЭто означает, что он смотрит на все, что приходит. Объем трафика во многом зависит от расположения компьютера в сети. Клиентская система в изолированной ветке сети видит лишь небольшой сегмент сетевого трафика, в то время как сервер основного домена видит почти весь его.

Сниффер пакетов обычно можно настроить одним из двух способов:

  • Unfiltered - Захватывает все пакеты
  • Filtered - захватывает только те пакеты, которые содержат определенные элементы данных

Пакеты, содержащие целевые данные,копируются по мере прохождения. Программа сохраняет копии в памяти или на жестком диске, в зависимости от конфигурации программы. Затем эти копии можно тщательно проанализировать на наличие конкретной информации или закономерностей.

Когда вы подключаетесь к Интернету, вы подключаетесь к сети, поддерживаемой вашим интернет-провайдером. Сеть интернет-провайдера взаимодействует с другими сетями, поддерживаемыми другими интернет-провайдерами, чтобы сформировать основу Интернета. Сниффер пакетов, расположенный на одном из серверов вашего интернет-провайдера, потенциально сможет отслеживать все ваши действия в Интернете, например:

  • Какие веб-сайты вы посещаете
  • Что вы смотрите на сайте
  • Кому вы отправляете электронное письмо
  • Что в электронном письме, которое вы отправляете
  • Что вы скачиваете с сайта
  • Какие потоковые события вы используете, такие как аудио, видео и интернет-телефония
  • Кто посещает ваш сайт (если у вас есть веб-сайт)

На самом деле, многие интернет-провайдеры используют анализаторы пакетов в качестведиагностических инструментов Кроме того, многие интернет-провайдеры хранят копии данных, таких как электронная почта, как часть их резервного копирования. системы. Carnivore и родственные ему программы были спорным шагом вперед для ФБР, но они не были новой технологией.

Процесс хищника

Изображение
Изображение

Теперь, когда вы немного знаете, что такое Carnivore, давайте посмотрим, как он работал:

ФБР имеетобоснованноеподозрение в том, что кто-то занимается преступной деятельностью, и запрашивает постановление суда о просмотре онлайн-активности подозреваемого. Суд удовлетворяет запрос на полнуюконтент-прослушивание только трафика электронной почты и выдает распоряжение.

Термин, используемый в телефонной слежке, «прослушка содержимого» означает, что все в пакете может быть перехвачено и использовано. Другой тип прослушивания телефонных разговоров - этоловушка-и-трассировка, что означает, что ФБР может захватить только информацию о получателе, такую как учетная запись электронной почты отправляемого сообщения или Адрес веб-сайта, который посещает подозреваемый. Обратная форма trap-and-trace, называемаяpen-register, отслеживает, откуда приходит электронная почта подозреваемому или откуда происходят посещения веб-сайта подозреваемого.

ФБР связывается с интернет-провайдером подозреваемого и запрашивает копию файлов резервных копий действий подозреваемого. ФБР устанавливает компьютер Carnivore у интернет-провайдера, чтобы следить за действиями подозреваемого. Компьютер состоит из:

  • Система Pentium III Windows NT/2000 с 128 мегабайтами (МБ) оперативной памяти
  • Коммерческое приложение для связи
  • Пользовательское приложение C++, которое работает в сочетании с вышеприведенной коммерческой программой для обеспечения перехвата и фильтрации пакетов
  • Тип системы физической блокировки, требующей специального пароля для доступа к компьютеру (это не позволяет никому, кроме ФБР, физически получить доступ к системе Carnivore.)
  • Aсетевое изолирующее устройство, делающее систему Carnivore невидимой для всего остального в сети (это предотвращает взлом системы с другого компьютера).
  • Диск Iomega Jaz емкостью 2 гигабайта (ГБ) для хранения захваченных данных (в накопителе Jaz используются сменные картриджи емкостью 2 ГБ, которые можно заменять так же легко, как дискеты.)

ФБР настраивает программное обеспечение Carnivore с IP-адресом подозреваемого, чтобы Carnivore перехватывал пакеты только из этого конкретного места. Он игнорирует все остальные пакеты. Carnivore копирует все пакеты из системы подозреваемого, не препятствуя потоку сетевого трафика. Как только копии сделаны, они проходят черезфильтр, который сохраняет только пакеты электронной почты. Программа определяет содержимое пакетов на основе протокола пакета. Например, все пакеты электронной почты используютПростой протокол передачи почты (SMTP). Пакеты электронной почты сохраняются на картридже Jaz. Раз в день или два агент ФБР посещает интернет-провайдера и меняет картридж Jaz. Агент берет извлеченный картридж и кладет его в контейнер с датой и печатью. Если пломба сломана, то лицо, нарушившее ее, должно поставить подпись, дату и поставить печать заново - в противном случае картридж можно считать «скомпрометированным». Наблюдение не может продолжаться более месяца без продления со стороны суда. После завершения ФБР удаляет систему из интернет-провайдера. Полученные данные обрабатываются с помощью Packeteer и Coolminer. Если результаты предоставят достаточно доказательств, ФБР может использовать их как часть дела против подозреваемого.

Интернет-провайдер не хранит данные о действиях клиентов как часть своей резервной копии.

Приведенный выше пример показывает, как система определяет, какие пакеты следует сохранять.

Добыча хищника

ФБР планировало использовать Carnivore по особым причинам. В частности, агентство запросило судебный ордер на использование Carnivore, если человек подозревался в:

  • Терроризм
  • Детская порнография/эксплуатация
  • Шпионаж
  • Информационная война
  • Мошенничество

Есть некоторые ключевые проблемы, которые вызвали большое беспокойство из разных источников:

  • Конфиденциальность- Многие считают Carnivore серьезным нарушением конфиденциальности. Хотя вероятность злоупотреблений, безусловно, существует,Закон о конфиденциальности электронных коммуникаций(ECPA) обеспечивает правовую защиту конфиденциальности для всех типов электронных коммуникаций. Любое наблюдение за электронными устройствами требует судебного решения и должно показатьвероятную причину того, что подозреваемый занимается преступной деятельностью. Следовательно, использование Carnivore каким-либо образом, не соответствующим ECPA, было незаконным и могло считаться неконституционным.
  • Regulation - Существовало широко распространенное мнение, что Carnivore представляет собой огромную систему, которая может позволить правительству США захватить контроль над Интернетом и регулировать его использование. Для этого потребовалась бы потрясающая инфраструктура - ФБР нужно было разместить системы Carnivore у каждого интернет-провайдера, включая частные, коммерческие и образовательные. Хотя теоретически это возможно для всех интернет-провайдеров, работающих в Соединенных Штатах, по-прежнему нет возможности регулировать тех, кто работает за пределами юрисдикции США. Любой такой шаг также встретил бы серьезное сопротивление со всех сторон.
  • Свобода слова - Некоторые люди думают, что Carnivore отслеживал весь контент, проходящий через интернет-провайдера, ища определенные ключевые слова, такие как «бомба» или «убийство»." Любой анализатор пакетов может быть настроен на поиск определенных шаблонов символов или данных. Однако без вероятной причины у ФБР не было оснований отслеживать вашу онлайн-активность, и это было бы грубым нарушением ECPA и вашего конституционного права на свободу слова, если бы так оно и было.
  • Echelon- это секретная сеть, по слухам, разрабатываемаяАгентством национальной безопасности (АНБ), предположительно предназначенная для обнаружения и захват пакетов, пересекающих международные границы, которые содержат определенные ключевые слова, такие как «бомба» или «убийство». Нет убедительных доказательств существования Echelon. Многие путают эту слуховую систему с системой Carnivore.

Все эти опасения сделали реализацию Carnivore тяжелой битвой для ФБР. ФБР отказалось раскрыть исходный код и некоторую другую техническую информацию о Carnivore, что только усилило опасения людей. Но до тех пор, пока он использовался в рамках ограничений и рекомендаций ECPA, Carnivore мог стать полезным оружием в войне с преступностью.

Часто задаваемые вопросы

У какого государственного учреждения есть программа Carnivore?

Программа Carnivore - спорная программная система наблюдения, управляемая ФБР.