肉食動物の仕組み

Carnivoreについて聞いたことがあるかもしれません。これは、米国連邦捜査局(FBI) が犯罪容疑者のオンライン/電子メール活動へのアクセスを許可するために開発した物議を醸すプログラムです。多くの人にとって、それはジョージ・オーウェルの本「1984年」を不気味に思い出させます。 Carnivore は 2005 年 1 月までに市販の盗聴ソフトウェアを支持して FBI によって放棄されましたが、かつてコンピュータ通信監視の世界における FBI の特定の影響力を再び高めると約束されたこのプログラムは、それでもその構造と用途において興味深いものです。

肉食動物の進化

Carnivore は、FBI が使用する第 3 世代のオンライン検出ソフトウェアです。最初のバージョンに関する情報は決して公開されていませんが、実際にはEtherpeekと呼ばれるすぐに入手できる商用プログラムであると多くの人が信じています。

1997 年、FBI は第 2 世代プログラムであるオムニヴォアを導入しました。 FBI が発表した情報によると、Omnivore は、特定のインターネット サービス プロバイダー(ISP) を通過する電子メールトラフィックを調べ、標的の送信元から電子メールをキャプチャし、テープ バックアップ ドライブに保存したり印刷したりするように設計されていました。リアルタイムで。 Omnivore は 1999 年末に廃止され、より包括的なシステムであるDragonWare Suite が採用されました。これにより、FBI は電子メール メッセージ、ダウンロードされたファイル、さらにはWeb ページを再構築できるようになりました。

DragonWare には 3 つの部分が含まれていました。

ご覧のとおり、関係者は DragonWare Suite について多くの情報を公開したことはなく、Packeteer と Coolminer についても何も公開せず、Carnivore についても詳細な情報はほとんど公開しませんでした。しかし、Carnivore が基本的にはパケット スニファーであり、かなり一般的であり、しばらく前から存在しているテクノロジーであることはわかっています。

パケットスニッフィング

コンピュータ ネットワーク管理者は、ネットワークを監視し、診断テストを実行したり、問題のトラブルシューティングを行ったりするために、長年にわたりパケット スニファを使用してきました。基本的に、パケット スニファーは、接続されているネットワーク上を通過するすべての情報を確認できるプログラムです。データがネットワーク上を行き来するとき、プログラムは各パケットを調べます、つまり「盗聴」します。

通常、コンピュータは自分宛てのパケットのみを確認し、ネットワーク上の残りのトラフィックは無視します。コンピュータ上でパケット スニファが設定されている場合、スニファのネットワーク インターフェイスはプロミスキャス モードに設定されます。これは、通過するすべてのものを見ていることを意味します。トラフィック量は、ネットワーク内のコンピュータの位置に大きく依存します。ネットワークの分離されたブランチ上のクライアント システムはネットワーク トラフィックのごく一部のみを認識しますが、メイン ドメイン サーバーはネットワーク トラフィックのほぼすべてを認識します。

パケット スニファは通常、次の 2 つの方法のいずれかで設定できます。

対象のデータを含むパケットは通過時にコピーされます。プログラムは、プログラムの構成に応じて、コピーをメモリまたはハード ドライブに保存します。これらのコピーを注意深く分析して、特定の情報やパターンを得ることができます。

インターネットに接続すると、ISP が管理するネットワークに参加することになります。 ISP のネットワークは、他の ISP が維持する他のネットワークと通信して、インターネットの基盤を形成します。 ISP のサーバーの 1 つにあるパケット スニファーは、次のようなオンライン アクティビティをすべて監視できる可能性があります。

実際、多くの ISP はパケット スニッファを診断ツールとして使用しています。また、多くの ISP は、バックアップ システムの一部として、電子メールなどのデータのコピーを保持しています。 Carnivore とその姉妹プログラムは FBI にとって物議を醸した前進でしたが、新しいテクノロジーではありませんでした。

肉食動物のプロセス

Carnivore が何であるかについて少しわかったところで、それがどのように機能するかを見てみましょう。

FBI は誰かが犯罪行為に関与しているという合理的な疑いを持っており、容疑者のオンライン活動を閲覧するよう裁判所命令を要求しています。裁判所は、電子メール トラフィックのみの完全なコンテンツ盗聴の要求を認め、命令を発行します。

電話監視で使用される用語「コンテンツ盗聴」は、パケット内のすべてがキャプチャされて使用される可能性があることを意味します。もう 1 つのタイプの盗聴はトラップ アンド トレースです。これは、FBI が送信先情報 (送信されるメッセージの電子メール アカウントや容疑者が訪問している Web サイトのアドレスなど) のみを取得できることを意味します。ペン登録と呼ばれるトラップ アンド トレースの逆形式は、容疑者への電子メールがどこから来たのか、または容疑者の Web サイトへのアクセスがどこから行われたのかを追跡します。

FBI は容疑者の ISP に連絡し、容疑者の活動のバックアップ ファイルのコピーを要求します。 FBI は容疑者の活動を監視するために ISP に Carnivore コンピューターを設置します。コンピュータは次のもので構成されます。

FBI は、Carnivore がこの特定の場所からのパケットのみをキャプチャするように、容疑者のIP アドレスを使用して Carnivore ソフトウェアを構成します。他のパケットはすべて無視されます。 Carnivore は、ネットワーク トラフィックの流れを妨げることなく、容疑者のシステムからすべてのパケットをコピーします。コピーが作成されると、電子メール パケットのみを保持するフィルターを通過します。プログラムは、パケットのプロトコルに基づいてパケットに何が含まれているかを判断します。たとえば、すべての電子メール パケットは SMTP ( Simple Mail Transfer Protocol ) を使用します。電子メールのパケットは、Jaz カートリッジに保存されます。 1 ～ 2 日に 1 回、FBI 捜査官が ISP を訪問し、ジャズ カートリッジを交換します。エージェントは回収したカートリッジを受け取り、日付が記入され密封された容器に入れます。シールが破れた場合、開封者は署名、日付を記入し、再封しなければなりません。そうしないと、カートリッジは「危険にさらされている」とみなされる可能性があります。裁判所からの延長がなければ、監視は1か月以上継続することはできない。完了すると、FBI はシステムを ISP から削除します。キャプチャされたデータは、Packeteer と Coolminer を使用して処理されます。結果が十分な証拠を提供する場合、FBIは容疑者に対する訴訟の一部としてそれらを使用することができます。

ISP は、顧客のアクティビティ データをバックアップの一部として保持しません。

上の例は、システムがどのパケットを保存するかを識別する方法を示しています。

肉食動物の獲物

FBI は特定の理由から Carnivore の使用を計画しました。特に、以下の疑いがある場合には、裁判所に Carnivore の使用命令を求める予定です。

これらすべての懸念により、FBI にとって Carnivore の実装は困難な戦いとなりました。 FBI は Carnivore に関するソース コードやその他の特定の技術情報の開示を拒否したが、これは人々の懸念を増大させるだけだった。しかし、ECPA の制約とガイドライン内で使用される限り、Carnivore は犯罪との戦いにおいて有用な武器となる可能性がありました。